hey salut tout le monde alors j'espère que vous allez bien j'espère que vous êtes en forme aujourd'hui une nouvelle playlist dédiée à surikata donc on fera que quelques vidéos le but c'est de raccrocher ce qu'on a découvert sur surikata dans wazu dans Open sense et de se dire bah voilà on va aller un petit peu plus loin et avoir un bloc un peu cohérent pour savoir bah c'est bien on a des outils dans notre boîte à outils mais savoir comment on peut imbriquer les outils les uns avec les autres et pour ça il faut un petit peu mieux les comprendre donc n'hésitez pas à cliquer sur S'abonner surtout c'est très important pour soutenir un youtubeur cl C sur rejoindre si vous soutenir les milliers d'heures passé sur la chaîne mettez des pouces bleus commentez oubliez pas de le faire c'est plutôt sympa de le le faire pour récompenser un petit peu le le travail passé sur cette chaîne et puis jingle et c'est [Musique] parti [Musique] alors c'est parti qu'est-ce que surikata abonnez-vous surtout si vous ne l'avez pas déjà fait c'est super important de le faire donc qu'est-ce que surikata euh bah c'est un outil de cybersécurité qui est assez connu qui date un peu hein maintenant c'est pas quelque chose de nouveau que je vais vous présenter qui date mais qui nécessite d'être connu parce que comme je vous le disais il interagit avec pas mal d'autres outils ceux qui sont sur la chaîne pour l'instant donc on va dire wazu open sense mais potentiellement il y en a également d'autres alors première chose c'est un IDS pour intrusion detection system alors qu'est-ce qu'un IDS c'est à mettre en opposition ou en tout cas en complément plutôt qu'opposition opposition c'est faux avec un IPS pour intrusion prevention systemme donc l'IDS oui son objectif c'est quoi c'est de collecter un maximum d'informations pour ensuite détecter des comportements malveillants donc on va dire des du hacking de de tout type essayer de vérifier des comportements à type d' injection ou ou autre de toute façon l'IPS donc l'IDS lui on va dire c'est plutôt une phase à mon c'est collecte d'informations et essayer de de typer les actions qui sont réalisées et si elles sont malveillantes ou non de pouvoir encore plus les affiner en matière de type deuxème étape donc du coup c'est l'IPS donc lui c'est pour intrusion prevention system le but c'est d'enclencher derrière des actions donc on a l'IDS qui lui a détecté avec du pop-corn il regarde le le trafic passé il fait HM toi tu as pas l'air bien veillant comme comportement là tu es en train de nous faire une petite injection SQL et derrière donc il faut passer à l'action et qu'est-ce qui se passe bah on va dire à l'IPS et bien écoute voilà tu vas me bloquer le trafic de cette IP là sur le port myusql postgay peu importe et tu vas ralentir l'action ou freiner bloquer complètement l'action de l'attaquant en question donc ça c'est un outil qui est assez important et la combinaison des deux va ensemble donc c'est pour ça qu'on retrouve souvent ce qu'on appelle un IDPs finalement qui est la concaténation des deux ensembles ce qui est le cas avec surikata ce qui est le cas aussi également avec wazu mais ces outils sont souvent un peu complémenta parce qu'ils ont pas tous les mêmes capacités à gérer les mêmes périmètres de règles ou avoir une richesse de règles suffisante donc du coup parfois on a tendance à combiner les uns et les autres ensuite également surikata c'est un network security monitoring donc NSM derrière l'idée c'est quoi bah grâce à la CAP de tous ces paquets finalement on a une vision un petit peu globale de ce qui se passe au niveau réseau de notre ou de nos machines et de notre réseau et donc derrière on va pouvoir interpréter tout ça et bien sûr en faire du monitoring alors comme je vous disais sur ikata il date pas d'hier il date de 2009 même 2007 plus exactement si on monte vraiment au prémis les outils qui existaient avant on peut citer par exemple snort et sur ikikata bah c'est un outil open source qui a été développé ppé en C et qui a été mis en place en tout cas très rapidement soutenu et maintenu par l'oisf donc l'ISF c'est quoi c'est open information security Foundation faut voir ça comme une fondation du coup avec des participants qui peuvent être des multinationales des agences on va retrouver par exemple l'any qui travaille également avec l'ISF et puis donc sur ikata bah sa richesse aussi c'est aussi sa capacité à s'intégrer à différents système d'exploitation Linux bien sûr free BSD open BSD et Windows avec ça on a fait une partie une grosse partie du travail pourquoi donc d'un point de vue système pur Linux on le retrouve sur énormément de serveurs mais si on le combine ensuite à Free BSD open BSD bah d'un point de vue réseau aussi on vient de couvrir une grosse partie des des stacks qui peuvent exister on ajoute à ça Windows bien sûr et du coup on a quelque chose de très très exhaustif derrière donc on va retrouver différents liens utiles il y a le site sucata.ao qui existe on a le giththub sucata c'est de l'OP source he comme je disais vous pourrez voir bah par exemple il y a un petit peu de Rust qui qui participe dans dans sucata la version actuelle c'est la 70.3 et puis vous avez la documentation tukata qui est assez bien faite et assez complète donc ça c'est assez cool alors dans les futures première premier point en tout cas qu'il faut avoir en tête c'est qu'il faut le voir comme une un agent une quoi un agent une instant qu'on va installer sur un serveur attention là il y a on va dire deux options un petit peu possibles soit on va l'installer sur un ensemble de serveurs et bah par exemple sur des des serveurs un peu frontaux type des reverse proxy par exemple on va l'installer on sait que le trafic quoi qu'il arrive une partie de notre trafic public arrive par ces serveurs là et donc du coup on va interpréter directement quand on va analyser directement les paquets et voilà potentiellement on va avir plusieurs surikata on va être obligé derrière de faire une une centralisation de de log hein puisque derrière le but c'est d'essayer de de rassembler un peu notre analyse euh d'un point de vue global ou encore ce qui peut se passer c'est que on peut se dire tiens on va le mettre quelque part dans le réseau par exemple sur euh une partie un peu frontal euh donc sur des des switchs également on va le placer haut dans le réseau sur euh quoi en utilisant les principes de port mirroring c'est-à-dire qu'on va mirrorer euh bah le trafic réseau rentrant et le faire passer par sur cata donc on va isoler finalement si on fait cette méthode là on va isoler cette instance dédiée à Suricata ce qui fait que derrière on peut réduire potentiellement en tout cas éviter de rajouter un peu de latence puisque finalement sur iikata c'est un outil qui va être entre l'application métier et le trafic rentrant donc si on rajoute une étape entre les deux qui est de l'analyse de paquet he qui est pas une tâche si évidente que ça donc ça va consommer un peu de CPU et bien on va rajouter un peu de latence donc du coup derrière le port mirroring peut permettre aussi d'isoler quoi de réduire cette latence l'autre atout de surikata donc on parlait de snort qui est un outil un peu plus historique snort historiquement était un outil monoé dans ces dernières versions il est multiré et c'est de là qu'émerge un petit peu suriikata c'est de se dire on va avoir un outil on va essayer d'améliorer ses performance donc il est passé en multireade et donc il permet de l'analyse de paquet de manière beaucoup plus intensive et plus rapide derrière deux concepts importants dans Suricata en tout cas deux termes que vous pouvez entendre parler les rules et les signatures les r C'est quoi bah finalement c'est des règles comme son nom l'indique qui sont des instructions donc on va analyser les paquets et on va retrouver finalement des patterns qui vont nous permettre de dire et de déclencher des alertes dire voilà attention là potentiellement il y a un comportement malveillant la signature c'est une cohérence d'ensemble qui va permettre de dire ça c'est la signature d'un type d'attaque donnée et donc on va alerter avec une plus grosse finesse ou en tout cas en en disant clairement ce qu'il est ce qui est en train de se passer en tout cas à force forte probabilité derrière donc comme je vous disais l'avantage de surikata c'est aussi son intégration avec d'autres outils type wazu ou open sense donc on va pouvoir l'intégrer dans ces outils là l'intérêt c'est quoi c'est de de pouvoir combiner les les atouts de chacun des outils si on met dans Open sense bien sûr on a notre trafic qui passe sur le firewall et donc c'est intéressant de de le passer dedans euh sur wazu bah le but ça va être plutôt le principe du Siem c'està-dire de centraliser l'intégralité des logs et d'avoir une analyse encore plus globale donc à la fois avec les logs de surikata mais d'autres logs potentiels et de tout fagocité pour en faire une analyse complète et globale comme je vous disais l'un des atouts de surikata c'est que c'est pas juste un IDS donc qui prend du pop-corn et qui regarde les les paquets passés en disant attention il se passe quelque chose de malveillant il est capable de faire de la prévention donc de passer à des actions et ça c'est aussi quelque chose d'assez sympa dans les autres features intéressantes de surikata et c'est là où on voit le besoin de performance c'est qu'il est capable de décrypter du trafic type SSL et TLS à la volée et d'interpréter ensuite les paquets donc ça c'est un un travail qui est quand même assez robuste à réaliser il fournit également donc une ligne de commande sur ikcata update qui permet de faire les updates des règles en question puisque là bah voilà les les risques cyber évoluent au fur et à mesure du temps et donc il faut s'adapter le NSM donc on en a parlé un petit peu mais c'est la capacité à utiliser et à et à analyser des journaux différents type DNS type HTTP il est capable aussi de faire l'extraction de fichiers et de la l'analyse de ces fichiers de la vérification de checksum par exemple en output là aussi il est très pratique pourquoi parce qu'il fournit du fichier plat on va dire un peu mais surtout et par défaut du JSON donc quand on parle d'intégrer de centraliser ensuite des logs dans des outils type open Search ou type elastic Search ou wazo qui repose sur Open search bah bien sûr du JSON c'est du format document et donc derrière ça va permettre de intégrer assez facilement sans avoir besoin de reparcer les logs qui peuvent demander encore de la ressource supplémentaire il permet également d'ajouter des scripts additionnels avec des règles qu'on peut quoi des des scripts qu'on peut rajouter en LUA pas des règles mais des scripts il est facile à utiliser comme je vous disais on peut l'utiliser aussi avec du port mirroring donc ça c'est assez sympa alors quelles sont les différentes étapes de fonctionnement de surikata première étape donc c'est euh bah la capture du trafic centr i en paquet il peut rien faire bien sûr tout comme nous donc pour ça il va utiliser des Libes notamment sur Linux on va retrouver la lib PUP sur Windows je crois que c'est winp cap quelque chose de ce goûtl et puis d'autres méthodes pour capturer les paquets deuxième étape ce qu'il va faire c'est que il va utiliser donc comme on le disait du multi trading et pour ça il va falloir distribuer les l'analyse des paquets au S en question et donc il va splitter le trafic qui reçoit soit de manière intelligente sur les SAD qu'il a à sa disposition troisème étape ce qu'il va faire c'est qu'il va défragmenter la partie IP assembler les paquets TCP de manière à avoir quelque chose d'intelligent et de facile à exploiter c'està-dire que si on a des paquets qui sont qui restent séparés les uns des autres finalement c'est difficile d'en avoir une interprétation puisque pour interpréter l'ensemble des paquet ce qu'il faut c'est pouvoir les relier à une analyse on va dire d'une couche plus haute donc lesayer 7 on va dire une analyse de type applicatif si on voit bah des logs de type Apache en tout cas des des paquets de de type Apache bah il faut qu'il soit reconstitué on va dire de manière cohérente et c'est ce qui fait dans cette trisème étape 4ème étape c'est bah du coup on a des paquets on est capable de de les lire et bien il faut ensuite appliquer les règles et interpréter ses règles donc ça c'est ce qu'il est capable de faire avec une suite de règles qui sont fournies nativement et qu'on peut alimenter au fur et à mesure 5e étape donc derrière il va aller encore plus en profondeur pour euh aller plus loin que simplement les entêtes euh des des paquets et aller dans le corps des paquets les datas pour analyser l'intégralité des éléments qu'il a à sa disposition 6e étape derrière bien sûr bah l'idée c'est de se dire qu'est-ce qui se passe est-ce qu'il se passe quelque chose de mal et bien on va passer à l'action alors c'est optionnel hein vous n'êtes pas obligé non plus de le faire mais c'est la partie IPS passer à l'action et enclencher des réponses ça peut être bloquer une IP ça peut être la rate limitée et cetera 7e étape ça elle arrive quoi qu'il arrive c'est l'écriture des logs comme je vous disais format plat format JSON et ça c'est hyper important 8e étape là c'est à vous de choisir c'est est-ce que vous souhaitz juste garder les logs en local ou les mettre à disposition à distance et les centraliser alors attention petite alerte là-dessus c'est que c'est bien beau de centraliser des logs de collecter des logs d' générer mais il faut-il encore avoir d'une part des des gens pour les analyser donc à la fois la compétence et le nombre de personnes suffisantes et également enclencher derrière des processus et des actions parce que derrière si on regarde juste des choses de temps en temps et on se dit ah là on a eu tant d'attaques ou tant de risques qui ressortent et ne rien enclancher derrière ça sert pas forcément à grandchose si ce n'est peut-être de dire à un client bah écoutez nous on utilise tel outil mais bon c'est raté un petit peu le le l'action quand c'est comme ça et l'exercice donc ça c'est quelque chose qui est très très très important c'est pas juste de collecter des logs d'autant que ça consomme de la ressource et souvent des pépettes un petit peu d'argent euh petit bonus derrière je vous invite à aller voir le le lien sur le site de Lancy de surikata alors c'est une analyse version 608 mais c'est une analyse qui est extrêmement intéressante et c'est pour vous dire le poids qu'àurikata dans la communauté cyber et la reconnaissance de celle-ci pour que l'ANC s'intéresse à ce type d'outil voilà donc j'espère que cette vidéo vous a plu n'hésitez pas à cliquer sur rejoindre si vous voulez ne pas manquer les prochaines vidéos euh si vous voulez me soutenir vous mettez des pouces bleus vous commentez vous vous abonnerz et je vous dis à très bientôt sur xavki Ciao à [Musique] tous [Musique]