Voici comment installer un système qui permet de voir ce qui se passe sur vos postes de travail en entreprise. Chacune des activités de Windows est enregistré de façon atomique sur un serveur. De cette façon, vous pouvez voir ce qui se passe (ou ce qui s’est passé lors d’un intrusion). Vous pouvez également procéder à différents tests (pour voir si vous pouvez les détecter).
Allons-y!
Pour l’analyse du comportement de malwares en mémoire, des injections de processus ou ceux utilisant le hallowing, il faut activer les journaux dans Windows Enterprise.
Activation des logs pour PowerShell
cela permet de savoir quels scripts powershell sont exécutés, car powershell est très souvent utilisé pour l’exploitation
Donc, dans l’éditeur des politiques de groupes:
gpedit.msc
Local Computer Policy
Administrative Templates
Windows Components
Windows PowerShell
Il faut activer ces options
Turn on PowerShell Transcription
Enable
Cocher Include invocation headers
Turn on PowerShell Script Block Logging
Enabled
Turn on Module Logging
Enabled
À droite de Module Names, cliquez Show…
Value *
Cliquer Apply
Activation des journaux pour le pare-feu
gpedit.msc
Local Computer Policy
Windows Settings
Security Settings
Windows Defender Firewall with Advanced Secuirty
Windows Defender Firewall with Advanced Security – Local Group Policy Object
Dans Overview : Windows Defender Firewall Properties
Dans Domain Profile, Private Profile et Public Profile:
Firewall state : On (recommended)
On bloque les connections entrantes (Inbound connections) : Block (default)
S’assurer que les connections sortantes sont permises : Allow (default)
Maintenant, on configure des paramètres de connexion pour chacun des profiles (domain private, public): Specify logging settings for troubleshooting : customize…
Mettre %systemroot%\system32\logfiles\firewall\pfirewall.log
Enlever la limite de 4096 en décochant
Log dropped packets et Log successful connections
Instrumentation de sysmon pour une meilleure détection des comportements attribués à des malware
sysmon (Windows Sysinternals) est un service qui permet de monitorer la création de processus, les communications réseau, le chargement de drivers ou de DLL, l’accès en lecture/écriture à des disques ou volumes, etc.
Nous intégrerons des modules supplémentaires à Sysmon (nécessite sysmon 12 ou ultérieur) pour analyser l’activité potentielle de logiciels espion sur le poste de travail
les modules sysmon de Olaf hartong
pour l’installation de sysmon et des modules,
créer un répertoire sysmon dans c:\program files
extraire les exécutables de sysmon dans ce répertoire
extraire aussi les modules téléchargés à partir de github dans ce même répertoire
dans un prompt administrator
cd c:\program files\sysmon
Pour voir la configuration (et l’éditer éventuellement)
notepad sysmonconfig.xml
Pour l’installation permanente du service
sysmon64.exe -i sysmonconfig.xml
installation du EDR Wazuh
securityonion wazuh (version 2.3)
Il faut d’abord configurer le server (securityonion). Vous pouvez avoir les détails dans la documentation de wazuh
Ce logiciel est disponible pour plusieurs systèmes d’exploitation (Windows/Unix/Linux/FreeBSD
La dernière version est 3.13.6-1 lors de l’écriture de cette page
https://packages.wazuh.com/3.x/windows/wazuh-agent-3.13.6-1.msi
Installer ce package dans Windows
ssh admin@server
docker exec -it so-wazuh dpkg -l | grep wazuh
devrait être la même version que l’agent
sudo so-wazuh-agent-manage -h
sudo so-wazuh-agent-manage -a agent_ip
Nous allons avoir une confirmation que l’agent a été ajouté ainsi qu’un ID
Pour avoir la clé de l’agent
sudo so-wazuh-agent-manage -e le_ID
sur le poste dans un cmd administrator
cd c:\program files (x86)\ossec-agent
dir manage agents.exe
manage_agents.exe /?
import key from the server (I)
Coller la clé
dir *.conf
notepad ossec.conf
configurer “server address”
Exécuter l’agent et faire un rafraîchissement si nécessaire : vous devriez voir l’adresse du serveur ainsi que la clé de l’agent
Configuration de Winlogbeat
Nous devons maintenant nous connecter sur l’interface de l’administration du serveur securityonion via https
dans la partir Downloads, nous téléchargeons l’utilitaire Winlogbeat. Lire le commentaire par rapport à so-allow…
Installer winlogbeat-oss dans windows
Copier c:\ProgramData\Elastic\Beats\winlogbeat\winlogbeat.example.yml dans winlogbeat.yml
notepad winlogbeat.yml (comme administrator)
ajouter dans la section winlogbeat.event_logs:
– name: Microsoft-Windows-Sysmon/Operational
– name: Microsoft-Windows-Windows-Defender/Operational
– name: Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
mettre la section output.elasticsearch: en commentaire (au complet)
Dans output.logstash, configurer hosts (adresse du serveur securityonion)
net stop winlogbeat
net start winlogbeat
Configuration des logs de Windows defender
gpedit.msc
Local Computer Policy
Computer Configuration
Windows Settings
Scurity Settings
Local Policies
Audit Policy
Audit object access
Audit theses attemps: Success, Failure
Tester un virus sur le poste de travail
winlogbeat -e : permet de savoir si le service fonctionne correctement
hostname
whoami
whoami /priv
tasklist /v
Dans l’interface de l’administration de securityonion, dans tools, kibana
Event Category, Host
Nous pouvons voir les différents logiciels qui monitorent les EDR (sysmon, suricata, zeek, ossec, sysmon, etc…) dans le serveur securityonion.
Atomic red team
Maintenant, il est temps de tester différentes techniques d’attaque pour voir si vous pouvez les détecter. Il existe un framework s’appuyant sur les techniques MITRE pour se faire : Atomic read team
Installer aussi Invoke-AtomicRedTeam (autres projets redcanaryco)
Invoke-AtomicTest T1003 -ShowDetailsBrief (ie mimikatz)
Invoke-AtomicTest T1003
Vous devriez maintenant avoir tous les outils pour l’analyse de la sécurité sur chacun des postes de travail dans votre entreprise.