Cours 5 - Réponse aux incidents Flashcards

1
Q

Qu’est-ce qu’un NIDS?

A

systeme de detection d’intrusion réseau

Utilise une base de comportement (détection par anomalie) ou les signatures pour analyser le trafic. Détecte des patterns anormaux (ex port anormal) ou qui contrevient à une règle (action, port, ip source , ip destination, port dest ).

Regarde le contenu du paquet contrairement au firewall. Plus sophistiqué que le firewall.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Quelle est la méthode de détection par signature

A

Pattern matching

avantage: détecte avec précision les attaques connues. Facile à écrire et générer pour des attaques connues.

désavantages: Incapable de détecter les attaques inconnues. Si l’attaque change, la signature n’est plus utile.

1e ligne de défence

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Qu’est-ce qu’un pot de miel

A

Une machine destinée à se faire attaquer.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

difference entre IPS et firewall

A

IPS fait plus de liens entre les paquets pour comprendre l’info

firewall est stateless, il bloque le traffic selon des règles simples.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Qu’est-ce qu’un IDS fait, qu’un firewall ne fait pas?

A

Parefeu
ne fait pas de correspondance de contenu
IDS
scan ip port et fait correspondance du contenenu
analyse dynamique
a besoin d’une base de connaissance
(indicateur de compromission, signature)

Il peut aussi faire analyse de comportement
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

IPS vs IDS

A

IPS va bloquer automatiquement les intrusions

An IDS is designed to only provide an alert about a potential incident, which enables a security operations center (SOC) analyst to investigate the event and determine whether it requires further action. An IPS, on the other hand, takes action itself to block the attempted intrusion or otherwise remediate the incident.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Qu’est-ce qu’un IDS?

A

Intrusion detection system
Utilise des signatures comme base de connaissance pour caractériserr des attaques. Peut également se baser sur les comportements

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Quelle est la difference entre NIDS et HIDS

A

HIDS: IDS au niveau de l’hôte (ex antivirus)

NIDS : IDS au niveau du network. Vérifie le contenue des paquets pour les analyser dynamiquement. des attaques.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Indicateur de compromis (IoC)

A
  • un motif ou une signature
  • permettant d’identifier une intrusion
    avec une grande certitude
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Quelle est la différence entre un IDS actif et un IPS?

A

IDS actif : bloque ce qui contrevient aux règles sans prévenir les attaques.

IPS: bloque et également analyse à l’avance pour prévenir les attaques

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Quelle est la différence entre un IDS actif et un IDS passif?

A

IDS actif : bloque ce qui contrevient aux règles

IDS passif: envoie des alertes mais ne bloque pas le trafic

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Quels sont différents éléments de cette signature

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:“BlackRose
C2”; flow:established,to_server; content:“GET”; content:
“|2f 3f|q|3d|”; distance:1; pcre:”/\x2f\x3fq\x3d\d+\x2d
Registration\x3a/smi”; content:!”User-Agent|3a|”; content:
”Connection|3a 20|keep-alive”; content: “Host|3a 20|”;
pcre:”/Host\x3a\x20([0-9]{1,2}.){3}[0-9]{1,3}\x3a/”;
classtype:trojan-activity; sid:10000003; rev:1;)

A
  • $EXTERNAL_NET : tout le trafic externe
  • any : tous les ports pour /viter botnets
  • content: GET : méthode GET
  • content:“|2f 3f|q|3d|”; code ascii de caractères spécifiques dans la requête
  • distance:1 espace entre le GET et l’URL
    GET /?q=…
  • content:!”User-Agent|3a|”; pas de user-agent
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Qu’est-ce que la détection par anomalie? Quels sont ses avantages et ses inconvénients?

A

Apprentissage supervisé ou non supervisé des anomalies.

Avantages
- Détecte les attaques inconnues
- Contrôle n’importe quelle source de
données
- Trouve des comportements non habituels
impossible à détecter par les autres outils

Inconvénients
Génère beaucoup de faux positifs
- Entrainement coûteux (en temps, en matériel)
- Expertise requise

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Quel est le rôle et les étapes du CTI?

A

CTI (Processs d’analyse des cyber menaces)

rôles:
Stratégique:
CTI explique les menaces aux personnels non techniques
- en offrant une vue globale des risques et conséquences
des attaques

Tactique
CTI décrit les méthodes d’attaque pour le
personnel technique , i.e.
- les TTP récentes utilisées par les attaques

Technique
- CTI fournit les détails techniques tels que les indicateurs
de compromission des attaques,
- l’analyse/prévention/détection des URL malicieux ou maliciels

opérationnel
- CTI fournit les détails techniques tels que les indicateurs
de compromission des attaques,
- l’analyse/prévention/détection des URL malicieux ou maliciels

étapes du processus:
Collection &Traitement
Analyse
Production (rapports)
Dissémination & Feedback
Planification & Direction

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Quelles sont les étapes de réponse à un incident?

A

-Identification
-Endiguement (Isoler ou contenir le réseau/hôte infecté afin d’éviter la propagation )
-Eradication (Supprimer les maliciels
Stopper le cluster réseau / hôte
infecté)
- Restauration du système dans son
état normal
- Activité postincident (Tirer des leçons
Documenter l’attaque)
- Préparation (Former l’équipe,
Préparer de la plateforme
et du matériel, documentation)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

:::::::::::::::::REVISION::::::::::::::::

A

:::::::::::::::::REVISION::::::::::::::::

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Nommez des hosted hypervisor

A

Oracle VM VirtualBox, VMware Workstation

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Qu’est-ce qu’un hyperviseur

A

A hypervisor is a program which controls the physical resources of a computing machine and distributes those resources between a number of various operating systems, which allows them to be run at the same time.

In other words, a hypervisor creates copies or clones of one physical computer’s hardware resources. Each clone is presented to the user as a separate device. Users can install guest operating systems on each of the virtual machines with no ties to the host hardware.

19
Q

Qu’est-ce qu’un hyperviseur hybride?

A

a combination of a thin hypervisor and the specialized service OS functioning on the hardware level under its control

The hypervisor controls the CPU and the memory directly while the service OS provides guests access to I/O devices.

20
Q

Nommez différents hyperviseurs baremetal

A

Hyper-V, Xen (Xenserver, Citrix Hypervisor), VMware ESXi

21
Q

Nommez différents hyperviseurs hybrides

A

Hyper-V et Xen

22
Q

Est-ce que le SDN permet seulement de virtualiser le réseau?

A

Non, il y a aussi les ressources de calcul qui sont virtualisées.

23
Q

Comment est-ce que AWS sélectionne la région appropriée?

A

Route 53 (is a highly available and scalable Domain Name System (DNS) web service. Route 53 connects user requests to internet applications running on AWS or on-premises.) If you’re using Route 53 Resolver to set up hybrid configurations, you create endpoints in AWS Regions that you choose, and you specify IP addresses in multiple Availability Zones.

ou

CloudFront (qui trouve le datacenter le plus proche)

24
Q

Quelles sont les techniques de caching

A

Consistent hashing car utilise la région pour créer son hache.

Consistent Hashing has several wide applications. It is used for sharding, load balancing, etc. It enables horizontal scalability. It minimizes disruption in a dynamic environment.

Consistent hashing is used in distributed systems to keep the hash table independent of the number of servers available to minimize key relocation when scale changes occur.

25
Q

Particularité du consistent haching

A

A une table hachage et arrange les données de façon circulaire. Utilise la région pour créer son hache.

The main benefit of Consistent Hashing is that any server can be added or removed dynamically and only the minimal set of objects need to move.

26
Q

Quelle est la différence entre SDN et NFV?

A

le SDN utilise le NFV pour virtualiser les données.

Le SDN opère à un plus haut niveau pour orchestrer le réseau. NFV procure les fonctions réseau de base.

27
Q

SDN utilise quel protocole?

A

OpenFlow

28
Q

Quels sont les risques au repos?

A

mauvais chiffrement

29
Q

Exemple de chiffrement symmétrique

A

Blowfish, triple DES (128), AES (128)

30
Q

Exemple de chiffrement asymmétrique

A

RSA 2048

31
Q

Différence entre vulnérabilité et menace

A

vulnérabilité: faille qui offre opportunité de porter dommage à un bien.
menace: peut être accidentelle ou délibérée. Scénario qualitatif de la perte du bien qui fait intervenir le bien, et les agents de menace.

32
Q

Différence entre tactique et technique

A

-Tactique : Ce qu’on veut faire . De haut niveau
- Technique: Comment on le réalise. Description détaillée de l’action dans le contexte d’une tactique.

33
Q

Quelles sont les phases du cycle MITRE

A

Les phases du cycle MITRE se décomposent comme suit :

Reconnaissance : l’adversaire développe une stratégie sur la cible
Militarisation : il développe des cyber-armes et détermine la meilleure méthode pour réussir leur déploiement
Déploiement : il déploie les cyber-armes sur un système cible prédéterminé
Exploitation : il exploite une vulnérabilité pour installer et activer des programmes malveillants sur le système cible
Contrôle : il gère la cible initiale et procède à une reconnaissance interne
Exécution : il exécute son plan pour atteindre ses objectifs (exfiltration des données, par exemple)
Maintien : il assure sa présence à long terme sur les systèmes ou réseaux cibles (notamment en effaçant tout signe de présence)

34
Q

Exemples de tactiques et techniques

A

Tactique : initial access
technique: phishing

35
Q

Quelle est la ressource pour connaitre les tactiques et techniques

A

MITRE ATT&CK

36
Q

Quelle est la différence entre la fédération des identités et IAM?

A

les deux peuvent gérer des identités dans le cadre de plusieurs organisations et plusieurs cloud.

fédération des identité

top level à partir de IDP

IAM
plus bas niveau
permet de gérer plus que les identités en faisant également la gestion des ressources de bas niveau.
gestion de l’infrastructure au niveau du provider

37
Q

Quelle est la différence entre guard duty et inspector?

A

Guard duty: Analyse les menaces du système. GuardDuty is a cloud-centric IDS service that uses Amazon Web Services (AWS) data sources to detect a broad range of threat behaviors

Inspector: Collection des vulnérabilités et analyse les erreurs de compliance.
Amazon Inspector is an automated vulnerability management service that continually scans AWS workloads for software vulnerabilities and unintended network exposure.

38
Q

Qu’est -ce qu’il faut comme info externe pour analyser les infos de guard duty?

A

Des filtres externes. Ex trouver des infos aditionneles sur l’adresse IP.

39
Q

VPC Peering fonctionnement

comment est-ce que ça aide lors d’attaques.

A

End to end entre 2 VPC. Instances in either VPC can communicate with each other as if they are within the same network.

On peut autmatiquement synchroniser les données (no single point of failure).

40
Q

Trafic mirroring

A

Copie du traffic. used to copy network traffic from the elastic network interface of an EC2 instance to a target for analysis.

41
Q

Différence entre trafic mirroring et VPC Peering

A

VPC Peering n’est pas que le traffic, peut etre aussi les fichiers et configurations

42
Q

Principes de IaC

A

Reusability, consistency, transparency

43
Q

Comment est-ce qu’on scanne les vulnérabilités avec Terraform

A

Trivy ou Terraform scan

44
Q

Réviser la matrice de contrôle d’accès

et les politiques IAM
et IAC

squelette sur cloudformation

paramètre, champ ressource
variables globales
comment gérer les états

A