{"id":1037,"date":"2022-11-10T14:49:41","date_gmt":"2022-11-10T19:49:41","guid":{"rendered":"https:\/\/www.searchevolution.com\/security\/?p=1037"},"modified":"2022-11-10T14:49:41","modified_gmt":"2022-11-10T19:49:41","slug":"activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire","status":"publish","type":"post","link":"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/","title":{"rendered":"Activation des journaux (logs) de Windows pour la d\u00e9tection de virus en m\u00e9moire"},"content":{"rendered":"

Voici comment installer un syst\u00e8me qui permet de voir ce qui se passe sur vos postes de travail en entreprise. Chacune des activit\u00e9s de Windows est enregistr\u00e9 de fa\u00e7on atomique sur un serveur. De cette fa\u00e7on, vous pouvez voir ce qui se passe (ou ce qui s’est pass\u00e9 lors d’un intrusion). Vous pouvez \u00e9galement proc\u00e9der \u00e0 diff\u00e9rents tests (pour voir si vous pouvez les d\u00e9tecter).<\/p>\n

Allons-y!<\/p>\n

Pour l’analyse du comportement de malwares en m\u00e9moire, des injections de processus ou ceux utilisant le hallowing, il faut activer les journaux dans Windows Enterprise.<\/p>\n

Activation des logs pour PowerShell<\/h2>\n

cela permet de savoir quels scripts powershell sont ex\u00e9cut\u00e9s, car powershell est tr\u00e8s souvent utilis\u00e9 pour l’exploitation<\/p>\n

Donc, dans l’\u00e9diteur des politiques de groupes:<\/p>\n

gpedit.msc
\nLocal Computer Policy
\nAdministrative Templates
\nWindows Components
\nWindows PowerShell<\/p>\n

Il faut activer ces options<\/p>\n

Turn on PowerShell Transcription<\/strong>
\nEnable
\nCocher Include invocation headers<\/p>\n

Turn on PowerShell Script Block Logging<\/strong>
\nEnabled<\/p>\n

Turn on Module Logging<\/strong>
\nEnabled
\n\u00c0 droite de Module Names, cliquez Show…
\nValue *
\nCliquer Apply<\/p>\n

Activation des journaux pour le pare-feu<\/h2>\n

gpedit.msc
\nLocal Computer Policy
\nWindows Settings
\nSecurity Settings
\nWindows Defender Firewall with Advanced Secuirty
\nWindows Defender Firewall with Advanced Security – Local Group Policy Object
\nDans Overview : Windows Defender Firewall Properties<\/p>\n

Dans Domain Profile, Private Profile et Public Profile:<\/p>\n

Firewall state : On (recommended)
\nOn bloque les connections entrantes (Inbound connections) : Block (default)
\nS’assurer que les connections sortantes sont permises : Allow (default)<\/p>\n

Maintenant, on configure des param\u00e8tres de connexion pour chacun des profiles (domain private, public): Specify logging settings for troubleshooting : customize…
\nMettre %systemroot%\\system32\\logfiles\\firewall\\pfirewall.log<\/p>\n

Enlever la limite de 4096 en d\u00e9cochant
\nLog dropped packets et Log successful connections<\/p>\n

Instrumentation de sysmon pour une meilleure d\u00e9tection des comportements attribu\u00e9s \u00e0 des malware<\/h2>\n

sysmon (Windows Sysinternals) est un service qui permet de monitorer la cr\u00e9ation de processus, les communications r\u00e9seau, le chargement de drivers ou de DLL, l’acc\u00e8s en lecture\/\u00e9criture \u00e0 des disques ou volumes, etc.<\/p>\n

Nous int\u00e9grerons des modules suppl\u00e9mentaires \u00e0 Sysmon (n\u00e9cessite sysmon 12 ou ult\u00e9rieur) pour analyser l’activit\u00e9 potentielle de logiciels espion sur le poste de travail<\/p>\n

les modules sysmon de Olaf hartong<\/a><\/p>\n

pour l’installation de sysmon et des modules,<\/p>\n

cr\u00e9er un r\u00e9pertoire sysmon dans c:\\program files<\/p>\n

extraire les ex\u00e9cutables de sysmon dans ce r\u00e9pertoire<\/p>\n

extraire aussi les modules t\u00e9l\u00e9charg\u00e9s \u00e0 partir de github dans ce m\u00eame r\u00e9pertoire<\/p>\n

dans un prompt administrator<\/p>\n

cd c:\\program files\\sysmon<\/p>\n

Pour voir la configuration (et l’\u00e9diter \u00e9ventuellement)<\/p>\n

notepad sysmonconfig.xml<\/p>\n

Pour l’installation permanente du service <\/p>\n

sysmon64.exe -i sysmonconfig.xml<\/p>\n

installation du EDR Wazuh<\/h2>\n

securityonion wazuh (version 2.3)<\/p>\n

Il faut d’abord configurer le server (securityonion). Vous pouvez avoir les d\u00e9tails dans la documentation de wazuh<\/a><\/p>\n

Ce logiciel est disponible pour plusieurs syst\u00e8mes d’exploitation (Windows\/Unix\/Linux\/FreeBSD<\/p>\n

La derni\u00e8re version est 3.13.6-1 lors de l’\u00e9criture de cette page <\/p>\n

https:\/\/packages.wazuh.com\/3.x\/windows\/wazuh-agent-3.13.6-1.msi<\/p>\n

Installer ce package dans Windows<\/p>\n

ssh admin@server<\/p>\n

docker exec -it so-wazuh dpkg -l | grep wazuh<\/p>\n

devrait \u00eatre la m\u00eame version que l’agent<\/p>\n

sudo so-wazuh-agent-manage -h<\/p>\n

sudo so-wazuh-agent-manage -a agent_ip<\/p>\n

Nous allons avoir une confirmation que l’agent a \u00e9t\u00e9 ajout\u00e9 ainsi qu’un ID<\/p>\n

Pour avoir la cl\u00e9 de l’agent<\/p>\n

sudo so-wazuh-agent-manage -e le_ID<\/p>\n

sur le poste dans un cmd administrator
\ncd c:\\program files (x86)\\ossec-agent
\ndir manage agents.exe
\nmanage_agents.exe \/?
\nimport key from the server (I)
\nColler la cl\u00e9<\/p>\n

dir *.conf<\/p>\n

notepad ossec.conf<\/p>\n

configurer “server address”<\/p>\n

Ex\u00e9cuter l’agent et faire un rafra\u00eechissement si n\u00e9cessaire : vous devriez voir l’adresse du serveur ainsi que la cl\u00e9 de l’agent<\/p>\n

Configuration de Winlogbeat<\/h2>\n

Nous devons maintenant nous connecter sur l’interface de l’administration du serveur securityonion via https<\/p>\n

dans la partir Downloads, nous t\u00e9l\u00e9chargeons l’utilitaire Winlogbeat. Lire le commentaire par rapport \u00e0 so-allow…<\/p>\n

Installer winlogbeat-oss dans windows<\/p>\n

Copier c:\\ProgramData\\Elastic\\Beats\\winlogbeat\\winlogbeat.example.yml dans winlogbeat.yml<\/p>\n

notepad winlogbeat.yml (comme administrator)<\/p>\n

ajouter dans la section winlogbeat.event_logs:<\/p>\n

– name: Microsoft-Windows-Sysmon\/Operational
\n– name: Microsoft-Windows-Windows-Defender\/Operational
\n– name: Microsoft-Windows-Windows Firewall With Advanced Security\/Firewall<\/p>\n

mettre la section output.elasticsearch: en commentaire (au complet)<\/p>\n

Dans output.logstash, configurer hosts (adresse du serveur securityonion)<\/p>\n

net stop winlogbeat<\/p>\n

net start winlogbeat<\/p>\n

Configuration des logs de Windows defender<\/h2>\n

gpedit.msc<\/p>\n

Local Computer Policy
\nComputer Configuration
\nWindows Settings
\nScurity Settings
\nLocal Policies
\nAudit Policy
\nAudit object access
\nAudit theses attemps: Success, Failure<\/p>\n

Tester un virus sur le poste de travail<\/h2>\n

winlogbeat -e : permet de savoir si le service fonctionne correctement<\/p>\n

hostname<\/p>\n

whoami<\/p>\n

whoami \/priv<\/p>\n

tasklist \/v<\/p>\n

Dans l’interface de l’administration de securityonion, dans tools, kibana<\/p>\n

Event Category, Host<\/p>\n

Nous pouvons voir les diff\u00e9rents logiciels qui monitorent les EDR (sysmon, suricata, zeek, ossec, sysmon, etc…) dans le serveur securityonion.<\/p>\n

Atomic red team<\/h2>\n

Maintenant, il est temps de tester diff\u00e9rentes techniques d’attaque pour voir si vous pouvez les d\u00e9tecter. Il existe un framework s’appuyant sur les techniques MITRE pour se faire : Atomic read team<\/a><\/p>\n

Installer aussi Invoke-AtomicRedTeam (autres projets redcanaryco)<\/p>\n

Invoke-AtomicTest T1003 -ShowDetailsBrief (ie mimikatz)
\nInvoke-AtomicTest T1003<\/p>\n

Vous devriez maintenant avoir tous les outils pour l’analyse de la s\u00e9curit\u00e9 sur chacun des postes de travail dans votre entreprise.<\/p>\n","protected":false},"excerpt":{"rendered":"

Voici comment installer un syst\u00e8me qui permet de voir ce qui se passe sur vos postes de travail en entreprise. Chacune des activit\u00e9s de Windows est enregistr\u00e9 de fa\u00e7on atomique sur un serveur. De cette fa\u00e7on, vous pouvez voir ce qui se passe (ou ce qui s’est pass\u00e9 lors d’un intrusion). Vous pouvez \u00e9galement proc\u00e9der \u00e0 diff\u00e9rents tests (pour voir si vous pouvez les d\u00e9tecter). Allons-y! Pour l’analyse du comportement de malwares en m\u00e9moire, des injections de processus ou ceux utilisant le hallowing, il faut activer les journaux dans Windows Enterprise. Activation des logs pour PowerShell cela permet de savoir <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"yoast_head":"\nActivation des journaux (logs) de Windows pour la d\u00e9tection de virus en m\u00e9moire - S\u00e9curiser votre site<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/\" \/>\n<meta property=\"og:locale\" content=\"fr_CA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Activation des journaux (logs) de Windows pour la d\u00e9tection de virus en m\u00e9moire - S\u00e9curiser votre site\" \/>\n<meta property=\"og:description\" content=\"Voici comment installer un syst\u00e8me qui permet de voir ce qui se passe sur vos postes de travail en entreprise. Chacune des activit\u00e9s de Windows est enregistr\u00e9 de fa\u00e7on atomique sur un serveur. De cette fa\u00e7on, vous pouvez voir ce qui se passe (ou ce qui s’est pass\u00e9 lors d’un intrusion). Vous pouvez \u00e9galement proc\u00e9der \u00e0 diff\u00e9rents tests (pour voir si vous pouvez les d\u00e9tecter). Allons-y! Pour l’analyse du comportement de malwares en m\u00e9moire, des injections de processus ou ceux utilisant le hallowing, il faut activer les journaux dans Windows Enterprise. Activation des logs pour PowerShell cela permet de savoir\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/\" \/>\n<meta property=\"og:site_name\" content=\"S\u00e9curiser votre site\" \/>\n<meta property=\"article:published_time\" content=\"2022-11-10T19:49:41+00:00\" \/>\n<meta name=\"author\" content=\"Germain\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Germain\" \/>\n\t<meta name=\"twitter:label2\" content=\"Estimation du temps de lecture\" \/>\n\t<meta name=\"twitter:data2\" content=\"4 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/\",\"url\":\"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/\",\"name\":\"Activation des journaux (logs) de Windows pour la d\u00e9tection de virus en m\u00e9moire - S\u00e9curiser votre site\",\"isPartOf\":{\"@id\":\"https:\/\/www.searchevolution.com\/security\/#website\"},\"datePublished\":\"2022-11-10T19:49:41+00:00\",\"dateModified\":\"2022-11-10T19:49:41+00:00\",\"author\":{\"@id\":\"https:\/\/www.searchevolution.com\/security\/#\/schema\/person\/e1318e0782dc5a7d6b03471347f881d8\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/#breadcrumb\"},\"inLanguage\":\"fr-CA\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/www.searchevolution.com\/security\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Activation des journaux (logs) de Windows pour la d\u00e9tection de virus en m\u00e9moire\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.searchevolution.com\/security\/#website\",\"url\":\"https:\/\/www.searchevolution.com\/security\/\",\"name\":\"S\u00e9curiser votre site\",\"description\":\"Conna\u00eetre son ennemi\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.searchevolution.com\/security\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"fr-CA\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.searchevolution.com\/security\/#\/schema\/person\/e1318e0782dc5a7d6b03471347f881d8\",\"name\":\"Germain\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-CA\",\"@id\":\"https:\/\/www.searchevolution.com\/security\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/6a203854efbec130dd49471ccbba1abc?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/6a203854efbec130dd49471ccbba1abc?s=96&d=mm&r=g\",\"caption\":\"Germain\"},\"sameAs\":[\"https:\/\/www.searchevolution.com\/security\"],\"url\":\"https:\/\/www.searchevolution.com\/security\/author\/germain\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Activation des journaux (logs) de Windows pour la d\u00e9tection de virus en m\u00e9moire - S\u00e9curiser votre site","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/","og_locale":"fr_CA","og_type":"article","og_title":"Activation des journaux (logs) de Windows pour la d\u00e9tection de virus en m\u00e9moire - S\u00e9curiser votre site","og_description":"Voici comment installer un syst\u00e8me qui permet de voir ce qui se passe sur vos postes de travail en entreprise. Chacune des activit\u00e9s de Windows est enregistr\u00e9 de fa\u00e7on atomique sur un serveur. De cette fa\u00e7on, vous pouvez voir ce qui se passe (ou ce qui s’est pass\u00e9 lors d’un intrusion). Vous pouvez \u00e9galement proc\u00e9der \u00e0 diff\u00e9rents tests (pour voir si vous pouvez les d\u00e9tecter). Allons-y! Pour l’analyse du comportement de malwares en m\u00e9moire, des injections de processus ou ceux utilisant le hallowing, il faut activer les journaux dans Windows Enterprise. Activation des logs pour PowerShell cela permet de savoir","og_url":"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/","og_site_name":"S\u00e9curiser votre site","article_published_time":"2022-11-10T19:49:41+00:00","author":"Germain","twitter_card":"summary_large_image","twitter_misc":{"\u00c9crit par":"Germain","Estimation du temps de lecture":"4 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/","url":"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/","name":"Activation des journaux (logs) de Windows pour la d\u00e9tection de virus en m\u00e9moire - S\u00e9curiser votre site","isPartOf":{"@id":"https:\/\/www.searchevolution.com\/security\/#website"},"datePublished":"2022-11-10T19:49:41+00:00","dateModified":"2022-11-10T19:49:41+00:00","author":{"@id":"https:\/\/www.searchevolution.com\/security\/#\/schema\/person\/e1318e0782dc5a7d6b03471347f881d8"},"breadcrumb":{"@id":"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/#breadcrumb"},"inLanguage":"fr-CA","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.searchevolution.com\/security\/2022\/11\/10\/activation-des-journaux-logs-de-windows-pour-la-detection-de-virus-en-memoire\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.searchevolution.com\/security\/"},{"@type":"ListItem","position":2,"name":"Activation des journaux (logs) de Windows pour la d\u00e9tection de virus en m\u00e9moire"}]},{"@type":"WebSite","@id":"https:\/\/www.searchevolution.com\/security\/#website","url":"https:\/\/www.searchevolution.com\/security\/","name":"S\u00e9curiser votre site","description":"Conna\u00eetre son ennemi","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.searchevolution.com\/security\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"fr-CA"},{"@type":"Person","@id":"https:\/\/www.searchevolution.com\/security\/#\/schema\/person\/e1318e0782dc5a7d6b03471347f881d8","name":"Germain","image":{"@type":"ImageObject","inLanguage":"fr-CA","@id":"https:\/\/www.searchevolution.com\/security\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/6a203854efbec130dd49471ccbba1abc?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/6a203854efbec130dd49471ccbba1abc?s=96&d=mm&r=g","caption":"Germain"},"sameAs":["https:\/\/www.searchevolution.com\/security"],"url":"https:\/\/www.searchevolution.com\/security\/author\/germain\/"}]}},"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/posts\/1037"}],"collection":[{"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/comments?post=1037"}],"version-history":[{"count":13,"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/posts\/1037\/revisions"}],"predecessor-version":[{"id":1050,"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/posts\/1037\/revisions\/1050"}],"wp:attachment":[{"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/media?parent=1037"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/categories?post=1037"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.searchevolution.com\/security\/wp-json\/wp\/v2\/tags?post=1037"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}