Purple Voice Mouvements latéraux - Episode 4 : Détection
Jun 17, 2025
Nabil et Raphaël plongent dans la détection des mouvements latéraux, soulignant l'importance des EDR personnalisés. Ils discutent de la collecte de logs cruciaux et des défis de filtrage des données pour réduire les faux positifs. L'accent est mis sur des outils comme PowerShell et SC.exe pour identifier les comportements suspects. La gestion stratégique des logs et le Purple Teaming sont présentés comme des atouts pour renforcer la sécurité globale. Une exploration fascinante pour quiconque s'intéresse à la cybersécurité.
AI Snips
Chapters
Transcript
Episode notes
Collecte des logs essentielle
- Collectez les logs Windows Event liés aux authentifications, SMB, services, sessions RDP, et tâches planifiées.
- Utilisez la télémétrie de l'EDR pour affiner la détection des mouvements latéraux sur les endpoints.
Détection via lignes de commande
- Détectez les mouvements latéraux en recherchant des LOLBIN comme sc.exe ou schtasks.exe avec commandes à distance.
- Analysez les lignes de commande contenant des indicateurs tels que backslash backslash et slash pour détecter les attaques.
Surveillance WMI et PowerShell
- Surveillez les processus créés par WMIPRVSE.exe pour détecter les exécutions WMI à distance.
- Appliquez une détection similaire pour PowerShell Remoting avec le processus WSM-ProvHost comme parent.