CyberSécurité

Références et Standards

• ANSSI (Agence nationale de la sécurité des systèmes d'information)
• OWASP (Open Web Application Security Project)
• MITRE ATT&CK
• NIST Cybersecurity Framework

outil de sécurité :

Active Directory

Scanner ACL AD - https://managedpriv.com/project/ad-acl-scanner/

Adalanche - AD ACL Explorer/Visualiseur - https://github.com/lkarlslund/Adalanche

AutomatedLab - GÉNIAL pour le déploiement de laboratoires - https://github.com/AutomatedLab/AutomatedLab

BloodHound/SharpHound - Analyse du chemin d’attaque (mon AV bloque cette :( ) - https://github.com/BloodHound

Delinea (anciennement Thycotic) Recherche de mots de passe faibles - https://delinea.com/resources/weak-password-finder-tool-active-directory

DSInternals - tout le matériel - https://github.com/MichaelGrafnetter/DSInternals

GameOfAD - environnement AD vulnérable - https://github.com/Orange-Cyberdefense/GOAD

GoodHound - listes exploitables de BloodHound - https://github.com/idnahacks/GoodHound

Hardening Kitty - Script d’analyse comparative CIS - https://github.com/scipag/HardeningKitty

Kit de conformité de sécurité MS - https://www.microsoft.com/en-us/download/details.aspx?id=55319

OpenVas - pas vraiment lié à AD mais scanne les DC - https://www.openvas.org/ (comme Nessus mais gratuit)

PingCastle - le scanner d’hygiène OG AD - https://www.pingcastle.com/

Semperis ForestDruide - Analyse de la trajectoire d’attaque AD axée sur l’intérieur vers l’extérieur - https://www.purple-knight.com/forest-druid/

Semperis Purple Knight - Scanner de surface d’attaque AD - https://www.purple-knight.com/

SpecOps Password Scanner - utilisé une fois, pas un grand fan de vider les mots de passe - https://specopssoft.com/lp/uk/free-active-directory-password-audit/

Trimarc AD Checks - Sean Metcalf - https://www.hub.trimarcsecurity.com/post/securing-active-directory-performing-an-active-directory-security-review

VulnerableAD - parfait pour créer un environnement AD vulnérable - https://github.com/WazeHell/vulnerable-AD

Delinea (formerly Thycotic) Weak Password Finder - https://delinea.com/resources/weak-password-finder-tool-active-directory

Netwrix Auditor Free Community Edition - édition gratuite de Netwrix Auditor, qui est restreinte par rapport à la version gratuite, mais toujours un outil très utile.

Netwrix Account Lockout Examiner - outil d’enquête sur le verrouillage qui vous aidera à remettre les utilisateurs au travail plus rapidement.

Netwrix Inactive User Tracker - traque les comptes d’utilisateurs inactifs, afin que vous puissiez renforcer votre sécurité Active Directory et atténuer le risque de violations.

Outil de rapport efficace sur les autorisations - aperçu de qui a des autorisations sur quoi dans Active Directory et les partages de fichiers.

Netwrix Password Expiration Notifier - outil qui rappelle automatiquement aux utilisateurs de changer leurs mots de passe avant leur expiration afin que vous puissiez assurer la sécurité informatique et réduire la charge de travail du service d’assistance.

Wireshark est un analyseur de protocole réseau indispensable.

Tvoici AD-Control-Paths, et d’autres outils dans le github ANSSI. https://github.com/ANSSI-FR

AutoPWN : GitHub - GamehunterKaan/AutoPWN-Suite: AutoPWN Suite is a project for scanning vulnerabilities and exploiting systems automatically.

OpenSource

OpenVAS - Open Vulnerability Assessment Scanner

Information Security and Compliance | Qualys

Sécurisation de l'architecture avec un système de journalisation

Magic Quadrant pour la gestion des informations et des événements de sécurité

Source : Gartner Reprint

Warning

Les solutions type Siem/XDR/NDR etc... ne sont pas des solutions à déployer en priorité dans le standard CIS. L’activation de log sur un serveur/endpoint est bien une priorité pour permettre notamment le forensic mais l’analyse de log n’arrive que dans l’IG2 et 3. Une des raisons est que ce sont, malgré les progrès qui sont faits, des outils qui nécessitent une charge non négligeable, voir importante, pour la configuration et le suivi opérationnel.

Forensic

Azure Extraction de log

1. Le CERT conseille l’usage de script Powershell HAWK avec un compte Tenant Admin : Documentation ici : https://cloudforensicator.com/documentation ou directement depuis les consoles d’administration O365 / Azure AD
2. Extraction du contenu de la première boite compromise :
   Start-HawkUserInvestigation -UserPrincipalName utilisateu@domain.com
3. L’extraction des risky users et des risky Signins du portal azure depuis 7 jours avant l’attaque : Documentation ici : https://learn.microsoft.com/en-us/azure/active-directory/identity-protection/howto-identity-protection-investigate-risk
4. L’extraction des UnifiedAuditLogs depuis 7 jours avant l’attaque à partir du centre de compliance ou via script powershell : Documentation ici : Search the audit log in the Microsoft Purview compliance portal - Microsoft Purview (compliance) | Microsoft Learn
5. L’extraction des Azure Signins depuis 7 jours avant l’attaque à partir de la section Signins logs du portal azure ou en powershell :Documentation ici : https://learn.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-all-sign-ins

Red Team

https://infosecwriteups.com/you-got-domain-admin-now-what-aab749c4200d

HoneyPot

https://github.com/BlessedRebuS/Krawl

Autre

Note

J'ai de nombreux document plus privé que j'ai produits et que je ne peux pas mettre ici. Si vous avez des questions spécifiques, n'hésitez pas :)