NoLimitSecu Détection vs Recherche de Compromissions
Feb 16, 2025
Christophe Renard, spécialiste en réponse à incidents, discute des nuances entre détection proactive et recherche de compromissions. Il aborde la complémentarité entre détection d'intrusions et hunting, avec des méthodes innovantes comme le retro-hunting. Les défis de gestion des journaux dans Windows et Linux sont également explorés, tout comme l'importance des tests d'intrusion pour les équipes Purple Team. En outre, il met en lumière l'optimisation des analyses de logs et l'évolution nécessaire des stratégies de détection face à la complexité des menaces.
AI Snips
Chapters
Transcript
Episode notes
Prioriser les actions de sécurité
- Concentrez vos ressources de sécurité sur les points faibles si votre programme de sécurité est récent.
- Le hunting est pertinent si vous êtes ciblé, que vos concurrents le sont, ou si des indices de compromission existent.
Centralisation des logs
- Centraliser les logs sur une plateforme dédiée permet des rétro-hunts efficaces et la conservation d'un historique.
- Des puits de logs de proximité permettent d'alléger la charge du SIEM et de conserver plus de données.
Complexité des logs
- Les SIEM modernes simplifient l'analyse des logs.
- Certains développeurs créent des formats de logs complexes, comme du XML encapsulant du Base64 contenant du JSON.