Faux positifs sous contrôle : Créer un workflow spécial CrowdSec avec Tracecat
Introduction Il y a quelques semaines, nous avons publié notre tout premier article sur Tracecat, un outil SOAR que nous avons ajouté à notre stack et qui nous permet d’automatiser certaines tâches. L’article se concentrait notamment sur l’intégration réalisée avec CrowdSec, et dans cet article, nous allons approfondir l’intégration, notamment grâce à de nouveaux nœuds […]
Visualiser les alertes CrowdSec dans Wazuh avec un dashboard sur mesure
Introduction Il y a quelque temps, nous avons publié un article sur l’intégration de Wazuh x CrowdSec. Nous allons poursuivre ce sujet en créant un dashboard personnalisé pour CrowdSec. Cela permettra de différencier les alertes CrowdSec de celles de Wazuh, et ainsi de mieux visualiser l’impact de CrowdSec sur vos serveurs préférés. Prérequis Un serveur […]
Automatiser l’analyse d’une adresse IP via l’API CTI de CrowdSec avec Tracecat
Introduction Partons découvrir Tracecat, un SOAR de nouvelle génération qui se veut être une alternative puissante et fiable à Splunk et Tines. Et bien entendu, open-source et libre ! En plus de cette présentation, nous sommes fiers de vous présenter une intégration Tracecat x CrowdSec, réalisée par notre administrateur en cybersécurité, faisant partie des contributeurs […]
Wazuh x CrowdSec
Introduction Découvrez aujourd’hui l’intégration de CrowdSec à Wazuh. Cet article sera une mise à jour de la vidéo de présentation disponible ici Depuis la dernière fois, il y a eu des améliorations. Nous ne sommes plus obligés d’utiliser Suricata comme intermédiaire entre Wazuh et CrowdSec. Nous pouvons maintenant intégrer une notification dans CrowdSec afin que […]
Présentation “Wazuh & Co”
Voici une présentation d’une trentaine de minutes réalisée par Killian Prin-Abeil sur Wazuh et les intégrations qui ont été faites autour de cet outil. Vous retrouverez dans cette présentation : Wazuh (XDR/SIEM), indexer ? manager ? dashboard ? Différentes PoC réalisées, telles que le SCA, l’audit ou encore le scan de vulnérabilité Les différentes intégrations […]
CrowdSec AppSec Component : Sécurisé vos site web
Introduction Découvrez CrowdSec Application Security Component (ou CrowdSec AppSec Component), une fonctionnalité en version bêta de sécurité avancée pour les applications Le composant AppSec offre : Capacités pour appliquer des correctifs virtuels avec un minimum d’effort requis. Support de vos règles ModSecurity existantes. En associant les fonctionnalités traditionnelles d’un pare-feu applicatif web (WAF) aux capacités […]
Les Acronymes du monde de la détection et de la réponse aux incidents.
Le monde de l’informatique est souvent rempli de termes techniques et d’acronymes divers et variés. Il peut parfois être difficile de s’y retrouver. D’autant plus que les menaces évoluent et les technologies pour y faire face également. C’est pourquoi aujourd’hui on va essayer d’éclaircir les termes utilisés. Les définitions sont des définitions idéalisées. En effet […]
Authelia – Une solution de SSO pour vos microservices
Je vous ai présenté, à travers plusieurs articles, Keycloak, comme étant une solution de SSO pour des applications, utilisant notamment le standard OIDC (OpenID Connect). Nous allons voir aujourd’hui une solution similaire, que je trouve, pour ma part, plus léger et plus simple à mettre en place. Et cette solution se nomme : Authelia ! […]
Yubikey : Interesting PoC to dump Credentials
Préambule J’ai écris il y a quelques jours un article sur comment protéger l’authentification PAM avec une Yubikey de type FIDO Bio : https://www.aukfood.fr/yubikey-parametrage-authentification-linux/ Afin de démontrer son intérêt, j’ai utilisé un projet git qui permet d’espionner ce service : https://github.com/citronneur/pamspy Celui-ci permet de réaliser un dump en temps réel des credentials en utilisant eBPF. […]
Keycloak : Federation d’un annuaire LDAPS (Active Directory)
Cet article a pour but de décrire la mise en place de la fédération d’un annuaire LDAPS (Active Directory) au sein d’un royaume Keycloak. Testé avec un domaine Active Directory On-Premises et avec Azure Active Directory. Contexte de l’infrastructure L’infrastructure sur laquelle je vais m’appuyer est la suivante : 1 contrôleur de domaine Active Directory […]