Surveillance d’activités suspectes au niveau de l’infrastructure d’une société

Mission :

Sysmon fournit des informations détaillées sur les créations de processus, les connexions réseau et les modifications apportées, ainsi que l'heure de création des fichiers. Il permet la collecte, et vous permet d'identifier les activités malveillantes ou anormales. Il se configure sur chaque machine de votre réseau grâce à l’utilisation de fichiers de config.

Tâches :

Surveiller ses journaux sous splunk afin d'identifier les cas d'utilisation suivants :

• Falsification de Windows Audit Log
• Recherche de téléchargements Web volumineux
• Détection des logiciels malveillants récurrents sur l'hôte
• Détecter les attaques par force brute
• Détection des communications Web non cryptées
• Commandes PowerShell suspectes
• Journal d'audit Windows effacé
• Détection du réseau et de l'analyse des ports
• Créer un service dans un chemin de fichier suspect
• Masquage des processus Windows courants
• Scripts d'initialisation de démarrage ou de connexion

Date d’expiration: 02 janvier, 2024