Cours 5 - Réponse aux incidents Flashcards
Qu’est-ce qu’un NIDS?
systeme de detection d’intrusion réseau
Utilise une base de comportement (détection par anomalie) ou les signatures pour analyser le trafic. Détecte des patterns anormaux (ex port anormal) ou qui contrevient à une règle (action, port, ip source , ip destination, port dest ).
Regarde le contenu du paquet contrairement au firewall. Plus sophistiqué que le firewall.
Quelle est la méthode de détection par signature
Pattern matching
avantage: détecte avec précision les attaques connues. Facile à écrire et générer pour des attaques connues.
désavantages: Incapable de détecter les attaques inconnues. Si l’attaque change, la signature n’est plus utile.
1e ligne de défence
Qu’est-ce qu’un pot de miel
Une machine destinée à se faire attaquer.
difference entre IPS et firewall
IPS fait plus de liens entre les paquets pour comprendre l’info
firewall est stateless, il bloque le traffic selon des règles simples.
Qu’est-ce qu’un IDS fait, qu’un firewall ne fait pas?
Parefeu
ne fait pas de correspondance de contenu
IDS
scan ip port et fait correspondance du contenenu
analyse dynamique
a besoin d’une base de connaissance
(indicateur de compromission, signature)
Il peut aussi faire analyse de comportement
IPS vs IDS
IPS va bloquer automatiquement les intrusions
An IDS is designed to only provide an alert about a potential incident, which enables a security operations center (SOC) analyst to investigate the event and determine whether it requires further action. An IPS, on the other hand, takes action itself to block the attempted intrusion or otherwise remediate the incident.
Qu’est-ce qu’un IDS?
Intrusion detection system
Utilise des signatures comme base de connaissance pour caractériserr des attaques. Peut également se baser sur les comportements
Quelle est la difference entre NIDS et HIDS
HIDS: IDS au niveau de l’hôte (ex antivirus)
NIDS : IDS au niveau du network. Vérifie le contenue des paquets pour les analyser dynamiquement. des attaques.
Indicateur de compromis (IoC)
- un motif ou une signature
- permettant d’identifier une intrusion
avec une grande certitude
Quelle est la différence entre un IDS actif et un IPS?
IDS actif : bloque ce qui contrevient aux règles sans prévenir les attaques.
IPS: bloque et également analyse à l’avance pour prévenir les attaques
Quelle est la différence entre un IDS actif et un IDS passif?
IDS actif : bloque ce qui contrevient aux règles
IDS passif: envoie des alertes mais ne bloque pas le trafic
Quels sont différents éléments de cette signature
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:“BlackRose
C2”; flow:established,to_server; content:“GET”; content:
“|2f 3f|q|3d|”; distance:1; pcre:”/\x2f\x3fq\x3d\d+\x2d
Registration\x3a/smi”; content:!”User-Agent|3a|”; content:
”Connection|3a 20|keep-alive”; content: “Host|3a 20|”;
pcre:”/Host\x3a\x20([0-9]{1,2}.){3}[0-9]{1,3}\x3a/”;
classtype:trojan-activity; sid:10000003; rev:1;)
- $EXTERNAL_NET : tout le trafic externe
- any : tous les ports pour /viter botnets
- content: GET : méthode GET
- content:“|2f 3f|q|3d|”; code ascii de caractères spécifiques dans la requête
- distance:1 espace entre le GET et l’URL
GET /?q=… - content:!”User-Agent|3a|”; pas de user-agent
Qu’est-ce que la détection par anomalie? Quels sont ses avantages et ses inconvénients?
Apprentissage supervisé ou non supervisé des anomalies.
Avantages
- Détecte les attaques inconnues
- Contrôle n’importe quelle source de
données
- Trouve des comportements non habituels
impossible à détecter par les autres outils
Inconvénients
Génère beaucoup de faux positifs
- Entrainement coûteux (en temps, en matériel)
- Expertise requise
Quel est le rôle et les étapes du CTI?
CTI (Processs d’analyse des cyber menaces)
rôles:
Stratégique:
CTI explique les menaces aux personnels non techniques
- en offrant une vue globale des risques et conséquences
des attaques
Tactique
CTI décrit les méthodes d’attaque pour le
personnel technique , i.e.
- les TTP récentes utilisées par les attaques
Technique
- CTI fournit les détails techniques tels que les indicateurs
de compromission des attaques,
- l’analyse/prévention/détection des URL malicieux ou maliciels
opérationnel
- CTI fournit les détails techniques tels que les indicateurs
de compromission des attaques,
- l’analyse/prévention/détection des URL malicieux ou maliciels
étapes du processus:
Collection &Traitement
Analyse
Production (rapports)
Dissémination & Feedback
Planification & Direction
Quelles sont les étapes de réponse à un incident?
-Identification
-Endiguement (Isoler ou contenir le réseau/hôte infecté afin d’éviter la propagation )
-Eradication (Supprimer les maliciels
Stopper le cluster réseau / hôte
infecté)
- Restauration du système dans son
état normal
- Activité postincident (Tirer des leçons
Documenter l’attaque)
- Préparation (Former l’équipe,
Préparer de la plateforme
et du matériel, documentation)
:::::::::::::::::REVISION::::::::::::::::
:::::::::::::::::REVISION::::::::::::::::
Nommez des hosted hypervisor
Oracle VM VirtualBox, VMware Workstation