Endpoint Security

Guide de configuration de la détection d’intrusion hôte pour mettre en place un HIDS avec Wazuh, OSSEC ou AIDE afin de surveiller l’intégrité des fichiers, les changements système et la sécurité des terminaux axée conformité dans des workflows d’audit de sécurité.

Le skill detecting-wmi-persistence aide les threat hunters et les analystes DFIR à détecter la persistance par abonnement d’événements WMI dans la télémétrie Windows à l’aide des Event ID Sysmon 19, 20 et 21. Servez-vous-en pour repérer des activités malveillantes EventFilter, EventConsumer et FilterToConsumerBinding, valider les résultats et distinguer une persistance d’attaquant d’une automatisation d’administration légitime.

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

detecting-fileless-attacks-on-endpoints aide à créer des détections pour les attaques en mémoire sur les endpoints Windows, notamment les abus de PowerShell, la persistance via WMI, le chargement réfléchi et l’injection de processus. Utilisez-le pour les audits de sécurité, la chasse aux menaces et l’ingénierie de détection avec Sysmon, AMSI et la journalisation PowerShell.

Guide de déploiement d’osquery pour le monitoring des terminaux, destiné à configurer la visibilité sur les endpoints, le suivi à l’échelle du parc et la threat hunting pilotée par SQL. Utilisez-le pour préparer l’installation, comprendre le workflow et les références d’API, puis industrialiser les requêtes planifiées, la collecte des journaux et la revue centralisée sur des endpoints Windows, macOS et Linux.

Skill de configuration avancée de Windows Defender pour le durcissement de Microsoft Defender for Endpoint. Couvre les règles ASR, l’accès contrôlé aux dossiers, la protection réseau, la protection contre les exploits, la planification du déploiement et des consignes de déploiement en mode audit d’abord pour les ingénieurs sécurité, les administrateurs IT et les workflows d’audit de sécurité.