jeu. Juil 16th, 2026

Analyse de la télémétrie

Après avoir installé l’Add-on Splunk pour Sysmon, j’ai décidé de me rendre à l’application de recherche et de reporting afin d’analyser la télémétrie générée par la machine Kali. J’ai saisi "index=endpoint" dans la barre de recherche, et cette fois-ci, le nombre d’événements était significativement plus élevé, atteignant 2 725. À gauche, de nouveaux champs ont également été ajoutés, notamment EventType, Process_id, et TimeCreated.

Étant donné que j’avais téléchargé cet add-on Sysmon après avoir réalisé le scan Nmap et utilisé Metasploit pour exécuter les commandes net user, net localgroup, ipconfig, j’ai décidé de répéter ces étapes pour voir la télémétrie produite. Après avoir exécuté ces actions, j’ai cherché l’adresse IP de la machine Kali après avoir tapé "index=endpoint". J’ai constaté que l’application ciblait uniquement un port de destination, le 4444.

Dans un contexte réel, des questions essentielles doivent être posées : "Cette machine devrait-elle établir une connexion à ce port ?", "Quelle est cette machine ?" et "À qui appartient-elle ?". Je vais vérifier ce que mes logiciels malveillants ont généré en tapant dans la barre de recherche "index=endpoint Resume.pdf.exe". Il y avait alors 13 événements de générés. En scrutant davantage les champs, j’ai noté la présence de six EventCodes.

En cliquant sur le code d’événement, j’ai pu élargir les détails nécessaires pour une analyse approfondie. J’ai découvert que le parent process "Resume.pdf.exe" avait initié le processus "cmd.exe" avec un identifiant de processus de 5848. Grâce à cet identifiant, j’ai pu interroger mes données pour voir ce que faisait cet invite de commandes. En ajoutant "|table _time,ParentImage,Image,CommandLine" à ma requête, j’ai obtenu une vue plus claire des actions effectuées.

Ainsi, il était évident que le parent image "Resume.pdf.exe" avait lancé "cmd.exe", qui à son tour avait exécuté les commandes net user, net localgroup et ipconfig. Cela m’a permis de générer, d’identifier et d’analyser la télémétrie, et de comprendre ce que l’« attaquant » tentait de réaliser sur la machine ciblée.

Bon à savoir

  • Le monitoring des événements réseau est crucial pour identifier des comportements suspects.
  • L’utilisation d’outils comme Sysmon peut grandement améliorer la visibilité sur les activités des processus.
  • La répétition de procédures avec de nouveaux outils permet de découvrir des informations additionnelles précieuses.
  • Analyser la télémétrie générée peut aider à mieux comprendre les intentions des potentiels attaquants.

La télémétrie, qu’elle soit issue d’attaques simulées ou réelles, mérite une attention continue. La vigilance est la clé pour anticiper et contrer des menaces émergentes. Quels défis supplémentaires pourrait-on envisager dans cet écosystème en constante évolution ?


Partager : X Facebook WhatsApp LinkedIn Reddit
5 thoughts on “Homelab de Cybersécurité : Partie 8 par Mr.E – Janv. 2025”
  1. Cet article met en lumière l’importance d’analyser la télémétrie. Chaque détail compte dans le monde de la cybersécurité, un peu comme les coups de pinceau d’un tableau qui racontent une histoire.

  2. L’analyse de la télémétrie est fascinante ! Comprendre le comportement des processus aide vraiment à anticiper les menaces et à se préparer efficacement. Bravo pour cette explication claire !

  3. L’analyse de la télémétrie est fascinante. Voir comment Sysmon révèle les actions des processus donne une vraie perspective sur les intentions des attaquants. Une très bonne approche pour sécuriser les systèmes.

  4. Cette analyse de la télémétrie est fascinante. Découvrir les actions d’un processus est comme enquêter sur un mystère. Comment pouvons-nous utiliser ces données pour améliorer notre sécurité ?

  5. L’analyse de la télémétrie est fascinante ! Cela montre à quel point chaque détail peut révéler les intentions d’un attaquant. Restez vigilant !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *