Lorsqu’une alerte a passé le filtre de la qualification, elle ne devient pas tout de suite un incident. D’abord, il faut comprendre plus précisément ce qu’il s’est passé ! C’est l’étape d’investigation.
Suivez les pistes de l’investigation
L’objectif final est de répondre aux questions qui vont déterminer les actions de remédiation :
Comment l’attaquant est-il entré ?
Quels sont les machines et les comptes compromis (c'est-à-dire auquel l’attaquant a accédé, ou est en mesure d’accéder) ?
Et au moment de traiter les actifs compromis : est-ce que l’attaquant a mis en place des accès dérobés pour revenir dans le SI ?
Pour répondre à toutes ces questions, vous devez vous glisser dans la peau d’un enquêteur qui formule des hypothèses, et qui va à la recherche d’indices pour les prouver.
Investiguez avec les outils à votre disposition
Investiguer l’état du système dans le SIEM
Le point de départ de votre enquête est la vision d’ensemble que vous donne le SIEM. Avec les logs des différents systèmes et de l’annuaire, celui-ci vous permet d’identifier les actions des utilisateurs ou des programmes, et d’en déduire l’état du système au moment de l’alerte.
En tant qu’enquêteur, vous pouvez voir le SIEM comme un indicateur qui peut répondre à des questions très précises. Par exemple :
Quelle est la liste des connexions de l’utilisateur mentionné dans l’alerte entre telle et telle date ?
Qui s’est connecté sur le système mentionné dans l’alerte durant cette période ?
Quels sont les derniers programmes installés sur la machine ?
Quels sont les événements qui concernent le système ou l’utilisateur au niveau de l’annuaire durant cette période : changements de privilèges, changements de mots de passe, etc. ?
Combien de connexions ont été effectuées à telle adresse ?
Chercher un comportement malveillant avec l’EDR/le NDR/l’XDR
Si vous cherchez un comportement, vous pouvez aussi regarder l’EDR, le NDR ou l’XDR. L’avantage est que dans le SIEM, vous cherchez parmi les logs ; dans l’EDR/le NDR/l’XDR, vous cherchez directement parmi les alertes. Est-ce que cela vous permet d’identifier des alertes liées à votre investigation ?
Voir les connexions dans les outils réseaux
Pour trouver des indices sur les connexions, vous pouvez aussi chercher dans tous les outils réseau : VPN, pare-feux, WAF, NDR… Ici aussi, procédez en formulant des questions précises que vous traduisez ensuite en requêtes dans ces outils.
Suivre les actions dans les applicatifs
Si l’alerte concerne des applications, comme des sites web ou un environnement de cloud, c’est dans les logs de ces applications que vous trouverez la cause de l’alerte. Ils sont consultables dans le SIEM ou directement sur les serveurs concernés. Vous pouvez aussi chercher des comportements suspects dans ces applications avec le NDR.
Approfondissez votre investigation manuellement
Comment trouver des informations sur les machines qui ne sont pas encore supervisées par le SOC ? Et lorsque l’on trouve des machines compromises, comment retracer les actions de l'attaquant sur ces machines pour identifier de potentiels accès dérobés ?
Dans ces deux cas, il faudra analyser la machine manuellement. C’est ce qu’on appelle une analyse forensique.
Récupérez les artefacts… mais sans les modifier
En bon enquêteur, lorsque vous collectez des indices, vous devez utiliser des gants pour ne surtout pas modifier la scène de crime.
Il en va de même avec toutes les analyses forensiques. Pour vous éviter de modifier les artefacts que vous collectez, vous devez suivre quelques principes :
copier le disque dur ou la mémoire vive sur un support que vous allez analyser plutôt que faire l’analyse directement sur le système ;
lorsque vous avez fait votre copie, vous devez utiliser un write-blocker, un boîtier qui permet d’éviter d’écrire sur le support de stockage. Cela évite de modifier les preuves de votre enquête ;
notez bien toutes les actions de collecte de preuves, ainsi que leur date précise !
Faire une analyse mémoire
Si vous pouvez laisser la machine en marche ou copier sa mémoire vive dans un fichier de vidage, la mémoire regorge d’informations intéressantes sur les services et processus en cours d’exécution. En particulier, votre objectif est d’identifier un processus malveillant. Pour chaque processus, est-ce qu’il est normalement lancé par cette ligne de commande ? Est-ce que le processus parent est bien habituel ?
Analyser un disque dur Windows
Si le système est éteint, vous pouvez analyser le disque dur à la recherche de traces d’une activité malveillante.
Sur une machine Windows, en plus des journaux d’événements, il existe un grand nombre d’artefacts créés par le système pour simplifier la vie des utilisateurs. Ils servent à accélérer le démarrage, suivre les performances, afficher les derniers fichiers ouverts… En les analysant, vous pourrez avoir beaucoup d’informations très pertinentes.
Analyser un disque dur Linux
Sur un système Linux, votre analyse se concentrera sur les différents logs, en particulier les logs applicatifs et les historiques de commandes. Il existe aussi des artefacts très utiles, mais qui dépendent beaucoup de la version de Linux utilisée.
Analyser un fichier malveillant
Si l’alerte est déclenchée par un programme suspect, votre première étape est d’analyser ce programme.
Si vous ne pouvez pas, l’EDR vous permet de récupérer une empreinte cryptographique de ce fichier (ou hash), pour le rechercher dans une base de données de logiciels malveillants, comme VirusTotal.
Alimentez votre investigation en nouveaux éléments
Enquêter par itérations
En réalité, le travail d’investigation n’est pas linéaire. En tant qu’enquêteur, vous partez d’indices. À partir de ces indices, vous formulez des hypothèses concrètes sur ce qu’il s’est passé. Ces hypothèses sont des pistes à suivre. En les suivant, vous tombez sur des indices qui vont vous permettre soit de valider, soit d’invalider l’hypothèse, soit d’envisager de nouvelles hypothèses. Donc une autre piste à valider, et ainsi de suite.
Ce processus se fait donc par itérations successives. Chaque nouvelle info obtenue enrichit la connaissance de l’incident et permet de préciser en permanence l’étendue des dégâts, la capacité de nuisance de l’attaquant et donc la gravité de l’incident.
Comment savoir quand s’arrêter de chercher ?
En réalité, les différentes phases de la réponse à incident ont lieu en parallèle et par des équipes différentes : dès que votre investigation a remonté des points à traiter, des actions de confinement et de remédiation commencent.
Continuer à enrichir l’incident
Pour communiquer au mieux avec vos collègues et les différentes équipes, vous devez enrichir l’investigation de tous les éléments de contexte que vous avez identifiés : IoC, logs, alertes liées à l’investigation, etc. Mais aussi une partie du contexte extérieur à l’organisation.
Si on identifie dans l’investigation des IoC qui ont déjà été identifiés auparavant dans une autre organisation, ajoutez toutes les analyses qui ont déjà été effectuées sur ce groupe d’attaquants. L’incident peut aussi faire partie d’une campagne de piratage plus vaste en cours ; dans ce cas, chaque information identifiée par d’autres équipes de défenseurs est bonne à ajouter à l’investigation !
Communiquer avec les autres équipes
C’est donc tout un mécanisme d’allers-retours qui se fait via le SOAR. Ces allers-retours s’arrêtent dès que l’investigation apporte suffisamment de réponses aux questions initiales pour pouvoir traiter l’incident :
Quelle est la cause de l’incident ?
Qu’est-ce qui est compromis ?
Est-ce que l’attaquant a laissé des moyens de revenir dans le SI ?
C’est pour cela que dans la pratique, vous ne serez pas seul ! Il y a un premier niveau d’analyse au sein du SOC, puis si besoin les analyses seront approfondies par d’autres analystes ou des équipes CSIRT, CERT, etc.
Consignez vos constats et passez à la prochaine étape
Une fois que vous avez suffisamment de réponses pour constater que l’incident est avéré et qu’il faut réagir, vous devez déclencher une réponse à incident.
Pour cela, vous devez changer le statut de l’investigation dans le SOAR pour créer une réponse à incident et y lier l’investigation.
Grâce à vos questions collectées durant l’investigation, définissez une priorité à donner à cet incident, et un plan d’action.
À vous de jouer !
Suite à l’alerte que vous avez qualifiée dans le chapitre précédent, vous devez investiguer sur la détection d’un logiciel suspect, somekatz.exe , sur un serveur critique pour l’infrastructure de sauvegarde de la société Méditronique.
Quelles sont les questions auxquelles vous cherchez à répondre en priorité pour identifier le caractère malveillant du programme ?
Une fois que vous avez prouvé le caractère malveillant de l'événement, vous devez en savoir plus afin de prévoir les premières actions pour limiter la compromission.Quelles sont les données que vous examinez pour organiser la réponse à l’incident ?
Et voilà la correction !
En résumé
Une fois l’alerte qualifiée, l’étape suivante est l’étape d’investigation, c’est-à-dire d’enquête, pour comprendre ce qu’a fait l’attaquant.
L’objectif final de l’investigation est de répondre aux questions qui vont déterminer les mesures de remédiation : comment l’attaquant est entré ? Quelles sont les machines et comptes compromis ? Est-ce qu’il a caché des portes dérobées pour revenir dans le réseau ?
Pour enquêter, il faut trouver des informations sur les actions de l’attaquant dans les traces centralisées dans le SIEM, l’EDR, le NDR, l'XDR ou les outils réseau.
Ce travail d’investigation se fait par itérations, un peu à la manière de celui d’un détective : on part d’indices qui amènent des pistes d’information à remonter. En suivant ces pistes, on tombe sur de nouveaux indices, qui indiquent d’autres pistes, et ainsi de suite.
Il peut arriver que certaines machines ne soient pas encore supervisées par le SOC : il faut alors chercher manuellement dans ces systèmes, en prenant bien garde à ne rien modifier pour ne pas endommager les preuves.
On peut également analyser les logiciels suspects dans une sandbox ou dans une base de connaissance de logiciels malveillants.
Dès que l’investigation permet de répondre à ces questions, des actions de remédiation peuvent être prises en parallèle de l’investigation, pour empêcher l’incident de se propager.
Découvrez comment confiner l’incident dans le chapitre suivant !
