Purple Voice Vols d'identifiants - Episode 4 : Détection
Aug 5, 2025
Dans cet échange captivant, Vincent Étienne, expert en sécurité offensive, partage ses insights sur les techniques d'exfiltration d'identifiants. Il explique les méthodes de détection du dumping de LSASS et l'importance des logs appropriés. Les invités discutent des menaces comme le brute force et le Kerberoasting, tout en proposant des stratégies pour réduire les faux positifs. Vincent évoque aussi l'utilisation de leurres dans le cloud pour détecter un accès illégitime. Un véritable concentré d'astuces pour renforcer la sécurité!
AI Snips
Chapters
Transcript
Episode notes
Collecte Ciblée De Logs Pour LSASS
- Collecte les logs de process, création de fichiers, accès inter-process et modifications de clés de registre pour traquer les dumps LSASS.
- Utilise Sysmon ou des SACL si ton EDR ne couvre pas ces actions pour améliorer la visibilité.
Logs Réutilisables Pour Plusieurs Détections
- Les mêmes types de logs (process, file, inter-process, registre) suffisent pour la majorité des détections d'identifiants.
- Les SACL et Sysmon complètent l'EDR lorsque celui-ci manque de couverture.
Surveiller Les Handles Vers LSASS
- Surveille les créations de handle vers lsass.exe et filtre les processus légitimes pour réduire le bruit.
- Préfère l'apprentissage du comportement ou l'analyse des signatures pour limiter les faux positifs.