Questionnaire avec Vérification

Mise en situation :

Nous avons enregistré un comportement anormal, certaines règles de détection des attaques potentielles ont été déclenchées, et même une fenêtre d’application s’est ouverte sur une session, sans que l’utilisateur en ait eu l’intention !

Nous avons isolé des enregistrements de logs, apparemment autour de ces commandes suspicieuses.

Pouvez-vous retrouver ce comportement anormal ?

Mode opératoire

Rechercher dans le fichier : Log_multi_machines.csv

Guide de recherche :

Piste 1

rechercher si des règles de filtrage sont utilisables

Piste 2

A Quel moment ces évènement ont eu lieu ? N’y a-t-il pas des effets non filtrés par les règles de capture ?

Questionnaire

Question 1 : Par quel vecteur ces enregistrements ont-ils été envoyés ?

C’est un collecteur d’évènements additionnel

Question 2 : Quel est le vecteur d’attaque ?

Programme ligne de commande utilisé pour enregistrer des contrôles de liaison

Question 3 : Quelle est l’application Windows lancée ?

C’est un exécutable standard de Windows

Question 4 : A quelle heure cette application a été lancée la première fois ?

Débrouille toi !

Question 5 : Est-ce (oui/non) une attaque réelle de l’extérieur de l’entreprise ?

Qui est Atomic R.. T…. ?

Points de pénalité : 0

Votre note totale : 0 / 20