EDR : Endpoint Detection & Response

La protection des points de terminaisons des infrastructures (stations, serveurs, mobiles, etc.) devient un axe majeur de la cybersécurité, où le traditionnel antivirus pourra difficilement lutter seul : quand les agents EDR entrent dans la danse pour lutter efficacement contre les menaces techniques du moment…

Depuis plusieurs dizaines d’années, on assiste à une recrudescence et à une amélioration des méthodes et des outils offensifs pour pénétrer dans les points de terminaisons des infrastructures IT : les Endpoints. Dans de nombreuses grandes infrastructures, les forces défensives sont souvent prioritairement orientées sur les moyens périmétriques, afin de lutter en direct contre l’ennemi : firewalls, WAF, proxies, etc. Mais, telle une ligne Maginot qui serait contournée par des chuteurs opérationnels, ces éléments sont de plus en plus évités lors d’attaques ayant lieu derrière ces défenses initiales. On se retrouve envahi de nuisances : malwares, backdoors, rebonds internes, etc. Comment lutter et se défendre ? Les fonctions de sécurité locale des systèmes d’exploitation et des applications, et des outils spécifiques comme le traditionnel antivirus, sont prêts à en découdre. Mais que se passe-t-il lorsque la menace est nouvelle, inconnue, furtive, violente, persistante, intelligente, voire adaptée ? Rappelons-nous quelques exemples publics : Wannacry, NotPetya, etc. Dans cet article, nous allons aborder la thématique des agents EDR, et leurs méthodes complémentaires de détection, de protection et d’intervention : la défense en profondeur.

1. A PROPOS DES EDR

Contexte

Il serait impossible de couvrir tous les aspects liés à la protection des points de terminaison d’une infrastructure IT, ici, sur un seul article, mais pour ouvrir l’appétit à ceux qui souhaitent aller plus en avant, nous porterons donc nos réflexions sur les agents EDR en priorité, afin d’initier le lecteur qui ne connaîtrait pas encore tous ces points assez intéressants au niveau tactique et stratégique.

Pour ceux qui auraient déjà de nombreuses connaissances sur ce sujet, ils pardonneront l’humble auteur de ne pas pouvoir rentrer dans chaque détail.

Souhaitez-vous équiper votre SOC/CSIRT d’outils qui vont bien plus loin que la simple collecte de logs (SIEM) ou que les analyses de flux (NIDS), afin de commencer à faire du combat avec vos ennemis cachés dans vos OS ? Les EDR pourraient alors vous intéresser, et nous allons essayer de vous apporter quelques clefs de lecture. Certains responsables orientés résultats opérationnels commencent à préférer déployer des EDR (HIPS++) plutôt que des NIDS ou du SIEM, déportant ainsi leurs efforts sur les entités actuellement vulnérables et ciblées.

A propos des endpoints

Mais que sont les Endpoints sur lesquels il est vivement conseillé de positionner des agents de sécurité ? Les termes évoluent et se mélangent. On parle souvent des composants qui vont traiter de la data en terminaison d’une infrastructure, et avec un processeur : ordinateur portable, station de travail, serveur, téléphone portable, tablette, objet connecté, automate, etc.

Vaste chantier que de vouloir unifier la sécurité d’un composant d’une usine Industrie 4.0, d’une voiture connectée, du tout dernier smartphone, du serveur web d’une société, et des laptops qui entrent et sortent des locaux, etc. Les menaces sont évidemment différentes en fonction du contexte. Les systèmes d’exploitation actuels n’hébergent pas les applications et les données proprement, sans parler des risques au niveau matériel. Une présence logicielle bas-niveau semble nécessaire pour assurer la détection, la protection ou même la gestion technique d’incidents.

infrastructures edr

Cette mission sera assumée par les agents EDR. Ces derniers seront en général liés à une infrastructure en mode client-serveur, avec des agents sur les points de terminaison à protéger, et une partie Appliance pour les gérer et/ou pour récupérer leurs alertes : solutions Cloud, ou On-Premise (sur site), ou hybrides avec un mix des deux, ou encore mode Air Gap pour des réseaux fermés.

L’institut [AV-TEST] recense actuellement 350.000 nouveaux logiciels malveillants chaque jour. L’écriture de toutes les règles antivirales génériques et quotidiennes serait donc complexe. Devant une telle vivacité du monde offensif, de nombreuses infrastructures vivantes, à base d’EDR arrivent en mode SaaS, avec une interactivité partant parfois du poste de travail, jusqu’à des services centralisés de sécurité. Par exemple, tous les binaires inconnus peuvent être envoyés dans des Sandboxes dans le Cloud grâce à des robots logiciels.

Les arguments juridiques (LPM, etc.), financiers (licences, etc.), et techniques s’introduiront dans les réflexions sur les infrastructures, avant de pouvoir procéder à des déploiements d’EDR. Avez-vous de multiples petites agences avec beaucoup de petites lignes DSL dans le monde imposant un mode Cloud plutôt que de mettre des appliances sur chaque petit site ? Avez-vous une usine ou un site stratégique un peu perdu dans la nature avec des risques de pannes, imposant une appliance On-Premisepour tenir lors de coupures ? Avez-vous des contraintes de débit, par satellite ou autre, imposant aussi des réflexions sur la position et la configuration des éléments pour limiter et optimiser les flux à remonter (alertes, analyses, etc.) ?

Au niveau des systèmes d’exploitation les plus communément demandés, même si la liste proposée pourrait être plus longue, on retrouve les classiques Microsoft Windows, Linux, Apple macOS, mais aussi sur les mobiles la partie a minima Android. En général, sous Apple iOS, par exemple sur iPhone et iPad, les possibilités de coder des protections sont moindres, car Apple s’aligne sur une optique de vendre un produit déjà propre et sécurisé, donc avec peu de possibilités de développement : sur un parc iOS normal (sans jailbreak), on aura ainsi du mal à faire une autopsie de chaque équipement en direct à distance.

Sous Windows, les agents EDR doivent suivre, voire préparer les nouveautés de Microsoft, afin de ne pas se retrouver dérangés par de nouvelles couches. Par exemple, sur un futur Windows 10, qui aurait une partie du disque en mode MS Cloud, avec des mécanismes dits d’hydratation, on aura du mal à tolérer qu’un EDR (ou un antivirus) s’amuse à scanner (donc à télécharger) le disque en réalité distant, via ces montages assez transparents pour l’utilisateur. Et sans parler des Windows récents, en réalité, de très nombreuses entreprises ont besoin de continuer de couvrir les versions du passé, comme Windows XP ou Windows 2003 Server : ces derniers sont toujours très présents dans des usines et dans la production opérationnelle qui ne peut souffrir des mises à jour ou arrêts particuliers, etc. Vous l’aurez compris, les agents EDR sont attendus pour être : tout-terrain au maximum, très efficaces même contre les menaces inconnues, faciles à déployer et à configurer, peu onéreux et de confiance.

2. Détection

Antivirus et/ou EDR ?

Les antivirus assurent déjà la barrière la plus efficace possible avec des méthodes traditionnelles connues et éprouvées. Grâce notamment à leurs bases de signatures, voire à certaines fonctionnalités annexes, comme leurs heuristiques, les antivirus présents dans les Endpoints arrivent à écrémer un immense pourcentage des attaques en détectant les menaces connues, voire quelques variations proches de menaces connues. Ces barrières sont le meilleur moyen pour lutter contre ce que nous appellerons le « tout venant », comme le Dridex du moment, le ransomware du mois, la clef USB bêtement infectée, etc.

Quand on regarde les tests des produits antivirus, certains atteignent des scores impressionnants autour de 100%. Mais quand on discute avec des experts offensifs ou des pentesters, ils nous répètent que les antivirus peuvent, en général, être facilement contournés. Pour autant, tout le monde dira de les conserver, car ils sont un moyen pratique pour éliminer les menaces de base.

De plus, certains antivirus possèdent des fonctionnalités hyper avancées comme le nettoyage complet des outils comme les préjudiciables Adwares et tout ce qui n’est pas forcément noir, mais qui joue sur le côté gris afin de rester caché dans les stations Windows notamment. La question qui tombe souvent est alors : doit-on choisir entre un Antivirus ou un EDR ?

C’est sûrement très discutable, et de nombreuses réponses seront possibles, mais pour simplifier, nous penserons ici, suite à de nombreux tests d’intrusions, qu’il vaut mieux conserver (actuellement) les deux technologies. L’antivirus saura filtrer un maximum de menaces de base, et l’EDR aura pour mission de pousser très loin les détections et les réponses à incident pour répondre à des questions complexes : qui a exécuté quoi, quand, comment, pourquoi, avec quel comportement, sur tout ou partie du parc, etc.

Consciencieux, l’administrateur système se demandera quelle empreinte aura un EDR sur un système, quand on sait déjà que l’antivirus a parfois la main lourde côté CPU : donc payer une licence en plus de l’antivirus qui jusqu’ici était considéré suffisant, mais payer aussi du CPU et de la RAM, commencerait à faire beaucoup. En réalité, les agents EDR regardent usuellement moins de choses que les antivirus, sur la partie entrées/sorties, par exemple sur le disque dur. Là où un antivirus va réellement comparer des centaines de milliers de signatures avec de nombreux blocs en cours d’écritures, l’agent EDR va jouer sur des analyses plus fines, mais néanmoins assez efficaces, ou il jouera sur du mode bloquant intelligent et peu gourmand.

surveillance des processus

Une des missions principales d’un agent EDR consiste à surveiller toutes les exécutions. On retrouve plusieurs méthodes en général, comme les mécanismes de type Load Library, du polling régulier sur les processus, des fonctions de tracking d’appels systèmes, ou encore de l’interception bas niveau avec parfois des options pour suspendre toute exécution louche, le temps qu’une analyse plus poussée ne soit terminée. Les EDR devront aussi s’intéresser aux migrations de processus et aux suivis des exécutions pour arriver à déterminer qui a lancé quoi et dans quel contexte, afin de simplifier des opérations de neutralisation ou d’analyse.

Process migrationFrom: C:\Users\Admin\Temp\carbanak.exe (3572)To: C:\Windows\System32\svchost.exe (2036)Remediation taken: Remote thread terminated

Analyse de la mémoire

Qui n’a pas rêvé de pouvoir trouver des Mimikatz, des Meterpreter, ou même [PUPY] et d’autres armes dans la mémoire vive des processus de tout leur parc Windows ? Certains EDR savent effectuer ces analyses pourtant coûteuses en termes d’utilisation du processeur, pratiques pour lutter contre les attaques « file less ».

Malicious process found

Memory rule triggered: hacking_tool_mimikatz
C:\WINDOWS\system32\csrss.exe
NT AUTHORITY\SYSTEM

Menaces persistantes

Les fameuses APT (Advanced Persistant Threats) furent au cœur de nombreuses publications commerciales et techniques ces dernières années, compte tenu du fait que beaucoup de sociétés et individus furent piratés avec des moyens permettant de conserver la main à distance, sans être trop repéré. Certaines backdoors en entreprise sont détectées des années après l’infection initiale. Mais pourquoi l’antivirus n’a-t-il pas vu cette porte dérobée cachée depuis autant de temps ? Parce que, ce n’est pas son job, et qu’il faut arrêter de lui demander de couvrir toute la sécurité, face à des outils offensifs alliant parfois des briques technologiques intrusives et furtives. Comment détecter ces menaces ? De manière assez simple, c’est comme lors d’opérations de type Forensics : on doit regarder tous les points d’entrées dans une machine, pour être présent au boot, ou au prochain login, ou dans une liste de choses lancées ponctuellement ou régulièrement, etc.

Menaces niveau bureautique

Les EDR auront souvent de multiples fonctionnalités pour lutter contre les menaces classiques liées à la bureautique.

Au niveau USB, on pourra ainsi souhaiter tracer les usages des ports sur tout le parc, voire les numéros de série de certains équipements ; interdire directement les aspects USB Storage, ou ne les laisser accessibles qu’en lecture seule ; tenter de lutter contre le classique branchement du GSM personnel censé ne faire que se recharger électriquement, mais partageant son pont 4G et reliant ainsi un Endpoint interne à Internet sans proxy officiel de l’entreprise.

Mobile device “GT-N7100” detected !
Samsung Electronics Co., Ltd
GT-I9300 Phone [Galaxy S III] (debugging mode)
Serial : 6&21ab38g3&0&0000
Install Date : 2017-11-10 14:35:39

Au niveau de la bureautique, les outils comme les navigateurs web, les suites Office ou Adobe, voire les produits comme Java ou Flash, sont très utiles pour les pirates, car ils sont souvent déployés et contiennent parfois beaucoup de failles potentiellement utilisables à distance, en direct ou au travers des modules vulnérables.

Dans de grandes infrastructures, hétérogènes et distribuées, avec des droits complexes, et parfois sans unification IT,  il faut scanner le parc pour trouver les machines avec des versions à risque et ces produits. Un EDR peut faire ce travail et apporter une vision globale de la sécurité. Il peut en général aussi détecter des comportements à risque : pourquoi Java lance un PowerShell qui s’amuse à tenter de masquer son code ? Pourquoi Outlook lance un Word qui lance un CMD.EXEqui lance un POWERSHELL.EXEqui tente de télécharger et de lancer un .EXE inconnu sur Internet ? Et pourquoi ce document Word contient des macros totalement risquées qui essaient de jouer avec des aspects système ? Ces questions sont à traiter au niveau des EDR, sans parler des traces au niveau TCP/IP des processus (Word qui parle à un C&C, etc.).

Lutte contre les ransomwares

Personne n’a envie d’être une victime d’un gros ransomware en mode Worm, contaminant tout une entreprise. Ces derniers mois indiquent des changements dans la structuration des groupes de criminels, voire du nombre d’attaques, avec une croissance enregistrée sur d’autres nuisances comme le cryptojacking. Mais comment lutter contre ces outils qui encore cette année en 2018, réussissent à paralyser des sous-ensembles de villes, d’hôpitaux ou de diverses sociétés ?

Les EDR qui savent interdire l’arrivée d’un binaire inconnu, avec des interceptions sur l’exécution, sauront prévenir le lancement d’un tel logiciel. Les EDR qui savent faire du comportemental pourront se rendre compte qu’un logiciel s’amuse à détruire de nombreux fichiers, voire des faux fichiers sur le disque. Parfois, ce sera l’accumulation de plusieurs technologies défensives qui permettra de lutter contre les versions les plus malveillantes ou furtives de ransomwares (ou de bombes logiques diverses utilisées non pas pour de l’argent, mais pour effectuer du sabotage).

Neutralisation d’un Ransomware en Powershell (Windows voit un logiciel signé par Microsoft) :

Honeyfile c:\users\test\appdata\fakepath\fakefile1.docx is being modified,
Parent Folder listing:
c:\users\test\appdata\fakepath:
— fakefile1.docx
— fakefile2.xlsx
Source process information:
Sha256: 65554b6cabe23a726eadcb72b09204e63afc6a76277c997528ca28ea084c4b3d
Verify Status: Signed
Signatures: Microsoft Windows\Microsoft Windows Production PCA 2011\Microsoft Root Certificate Authority 2010
– (EVIL\test) C:\Windows\explorer.exe (3232)
— (EVIL\test) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (4216)
Remediation:
ApplicationPolicy/Ransomware activity, not authorized by application policy
Killed processes –> 4216

Attaques via des outils tiers (powershell...)

Beaucoup d’attaquants savent manier avec hardiesse l’usage d’outils malveillants ou d’outils bienveillants transformés à dessein pour faire du mal. Ces dernières années, une course existe, où les agresseurs s’amusent à redoubler de créativité pour trouver des moyens d’exécuter des opérations offensives, sans que leur action ne puisse être trop visible.

À cet effet, une méthode efficace sous Windows consiste à utiliser les outils tiers, comme wmic, mshta, rundll32, regsvr32, msbuild, ou encore PowerShell. Ce dernier est connu (distribué dans Windows), reconnu comme provenant d’une société de confiance (Microsoft). Il sera parfois complexe d’interdire sa présence notamment pour la télé-administration, même si des mécanismes de signatures existent pour affiner son usage.

Alors, comment découvrir qu’un fichier PS1 est en fait un ransomware en pur PowerShell, ou un outil pour injecter du code malveillant en mémoire, etc. ? Avec un moteur comportemental, un EDR sait retrouver un usage malveillant. Les meilleurs EDR pourront non seulement détecter, mais aussi bloquer ces attaques, évitant ainsi le dérapage d’une simple détection.

Phases complexes

La phase de boot est dangereuse si on doit adresser les attaques locales (accès physiques pour le pirate), ou juste les attaques distantes. Un EDR seul aura du mal à combler tous les trous. Une machine qui n’aurait pas un minimum de protection (le FDE par exemple) risquerait de toute façon de subir certaines compromissions.

Sur une plateforme de type serveur, la présence de FDE n’est pas communément admise, et l’on trouve souvent de telles machines dans des infrastructures Cloud, là où plein d’administrateurs inconnus pourraient illégalement jouer avec la confidentialité ou l’intégrité de la machine. Sur une plateforme de type station, tout va dépendre de la situation, et les questions de sécurité peuvent aller jusqu’aux aspects BIOS et/ou UEFI.

Windows propose aussi le mécanisme ELAM (Early Launch Anti Malware), qui pourrait dans certains cas combler les quelques secondes d’un démarrage de machine, où la sécurité n’est pas toujours parfaite immédiatement.

Lorsqu’un attaquant aura la main sur une machine, il voudra sûrement tenter de supprimer, couper, suspendre, etc., les outils EDR. Ceci impose donc qu’une protection de l’agent soit efficace s’il veut survivre. Sa résilience sera donc un des points importants, même si on ne peut garantir une protection à 100 % quand on sait déjà que le système dessous n’est pas totalement propre.

Intelligence artificielle

On pourrait écrire des articles dédiés à l’I.A. et à la cybersécurité. Résumons le concept ici. Des outils de type I.A. sont capables de dire qu’une photo de tigre représente un chat avec un indice de confiance de 71 %, après avoir été entraînés sur suffisamment de photos de chiens et de chats. En découpant la photo, l’I.A. analyse de nombreux éléments en entrée : les bords des différentes zones, les couleurs, les formes, les tailles, etc. Cela permet de dépasser les mathématiques traditionnelles où, via des algorithmes, parfois à la frontière avec des systèmes de poids ou de filtres bayésiens, on finit par devoir construire des méthodes intéressantes de reconnaissance, notamment avec des réseaux de neurones. Ces mécanismes existent aussi pour reconnaître des choses anormales ou malveillantes.

De nombreux EDR embarquent en local ou en mode cloud ces fonctionnalités, afin de reconnaître des malwares. Vous donnez un PE Windows en entrée, et l’intelligence artificielle vous indique s’il s’agit d’un malware avec un indice de confiance.

L’I.A. est devenue un sujet assez controversé, qui anime des débats allant du scientifique au fantasmagorique, l’annonçant comme une solution magique. En réalité, pour ceux qui ont l’habitude de faire de la lutte contre l’espionnage numérique, l’I.A. est vue comme un outil en plus, mais que ce n’est pas la solution absolue.

Un antivirus dit « je vois tel virus dans tel binaire », et vous obtenez deux informations : quelque chose semble méchant + le nom de la menace. Parfois, l’antivirus sait même que pour cette menace exactement, il faut tel mécanisme de nettoyage.

L’I.A. dit « je pense que ce binaire est méchant avec tel niveau de confiance » . Certains constructeurs d’I.A. sont hélas les plus gros générateurs de faux positifs, contrairement aux antivirus, plus précis, mais plus aveugles quand on parle de menaces inconnues (virus 0-day).

Que conclure sur ces sujets : ces I.A., couplées dans des EDR, ont totalement leur place, mais il ne faut pas les mettre sur un piédestal : elles sont contournables et font des erreurs aussi. Elles ne connaissent pas la procédure à appliquer puisqu’elles ne vont pas indiquer précisément le nom du virus. À quoi servent-elles ? À avoir un camarade virtuel de plus, pour se battre, et pour ne pas louper ce que les traditionnelles solutions à base de signatures auront manqué. Il vaut mieux une ceinture et des bretelles, avec une I.A. et un antivirus (sans parler de toute la panoplie des EDR : le comportemental, l’heuristique, la détection de déplacements latéraux, de 0-day ou d’élévation de privilèges, etc.).

3. Répondre à la menace

Neutralisation

Les réponses de base consistent bien évidemment à neutraliser une application ou une famille d’applications infectées ou à risque. Par exemple, si un utilisateur qui lance Word se fait infecter par un document malveillant qui télécharge une backdoor et la lance, Windows verra EXPLORER qui lance WORD qui lance un BINAIRE. Un EDR qui veut nettoyer la machine devra tuer le BINAIRE : mais pourquoi ne pas tuer WORD aussi, puisque ce dernier est déjà infecté ? On risque la perte de données pour l’utilisateur qui écrivait peut-être un document initialement ; il ne fallait pas lire ce fameux INVOICE31337.DOC envoyé par un inconnu. Certains EDR proposeront aussi des opérations de mise en quarantaine pour éviter qu’un binaire ne se relance en permanence.

Investigations offline et online

Le récent article [ARCHÉOLOGIE] de MISC rappelait parfaitement tous les concepts liés au Renseignement et à l’Analyse de la Menace, et abordait d’ailleurs plusieurs produits, commerciaux ou non, ayant pour vocation d’aider dans le cadre d’investigations. Nombreuses sont les sociétés de cybersécurité qui eurent à gérer des crises violentes où il fallait intervenir à distance sur des milliers de machines pour nettoyer un parc contaminé par une ou plusieurs menaces. Dans ce contexte, l’article [MEMENTO] rappelle les spécificités au niveau des EDR : ces derniers sont une arme essentielle pour lutter contre les attaquants à grande échelle, suivant les forces et les fonctionnalités embarquées.

On notera toutefois quelques questions sensibles : si un EDR est capable de copier la RAM d’une machine, afin de mener une investigation numérique poussée ailleurs, que se passe-t-il si l’équipe SOC utilisant ce dump de mémoire s’amuse à récupérer d’autres informations ? La question n’est pas neutre. Elle est régulièrement posée chez les clients Grands Comptes, qui utilisent des EDR pour protéger les postes sensibles. Pensez aux administrateurs avec trop de privilèges, aux personnes d’un COMEX, etc., et vous verrez rapidement qu’il existe des cas complexes où personne ne voudrait que la présentation stratégique du moment soit copiable grâce à… un outil de cybersécurité censé servir à lutter contre l’espionnage. Certains produits sont illimités sur ces droits (ou avec des demandes d’autorisations au end-user, ce qui peut être compliqué à expliquer pour un public non averti), et d’autres font exprès de ne pas proposer la fonctionnalité pour éviter un détournement de ce type.

Les débats ne manqueront pas dans le futur, sachant qu’en ligne de mire, les indices de compromissions, ou IOC, semblent devenir un eldorado commercial et/ou technique. La question à se poser sera alors : dois-je payer une certaine (très grosse) somme ou non pour m’abonner à des flux de type IOC plus ou moins exceptionnels ? Où puis-je me limiter à des sources ouvertes ? Où puis-je me limiter à des systèmes tellement autonomes que finalement ils sauront découvrir les attaques par eux-mêmes, en construisant les bases d’IOC sans intervention humaine pour des actions finalement évidentes (au sens ITIL niveau 1) ? L’argent, le temps, et la stratégie seront des éléments importants pour faire son choix.

Isolement

Une technologie qui tend à être très appréciée, notamment depuis les arrivées de certains vers connus (WannaCry, NotPetya), consiste à isoler un ou plusieurs Endpoints de tout le réseau. On demande alors à l’EDR de couper les flux vers tout le reste du parc, sauf avec les machines de management des EDR. Cela permet de ne plus risquer la propagation d’un produit malveillant, notamment lors d’infections massives avec des déplacements latéraux. On peut alors quasiment en toute sérénité réussir à travailler sur la ou les machines infectées, à distance, pour faire des analyses de sécurité, du nettoyage, etc., sans créer de risque supplémentaire, gardant ainsi la machine allumée et disponible pour de plus amples investigations.

Conclusion

Certains commencent à penser que l’absence d’EDR dans un parc informatique est équivalente à l’absence d’un antivirus il y a plusieurs dizaines d’années. Le besoin de protections avancées est évident quand on voit les dégâts causés par des outils assez basiques, mais inconnus et suffisamment furtifs pour endommager des infrastructures. Mais l’usage d’un EDR s’avère aussi puissant pour l’amélioration continue de la sécurité, à la recherche des logs étranges dans les stations, ou des vulnérabilités présentes, ou tout simplement pour adopter une forte réactivité à distance sur des levées de doutes et analyses orientées Forensics. En fonction de vos moyens, vous pourrez ainsi commencer par regarder, voire contribuer à des solutions libres qui ressemblent à des EDR ou qui pourraient être habillées pour retrouver des usages similaires ([OSQuery][OSSEC]). La plupart des offres plus lourdes sont désormais commerciales et proposent de nombreuses options, avec différents coûts et avec des efficacités techniques réelles assez intéressantes à valider.

Références

Article sous licence (CC BY-NC-ND)​ – publié dans le magazine MISC n°99 – novembre 2018

[OSQUERY] Performant Endpoint Visibility : https://osquery.io

[OSSEC] Site officiel du projet OSSEC, Open Source HIDS SECurity  : http://www.ossec.net

[AV-TEST] Statistiques sur les logiciels malveillants : https://www.av-test.org/fr/statistiques/logiciels-malveillants/

[PUPY] Site officiel de PUPY, pour vos tests d’intrusions : https://github.com/n1nj4sec/pupy

[ARCHÉOLOGIE] Guillaume. Arcas, « ARCHEOLOGIE NUMERIQUE », MISC n°97, mai-juin 2018

[MEMENTO] Article sur Linkedin « Memento Mori. Stratégie Forensics. »: https://www.linkedin.com/pulse/memento-mori-strat%C3%A9gie-forensics-laurent-oudot/