Vous devez reconstituer ce qu'un attaquant a fait sur trois jours. Quelle est la bonne approche ?
Réponse courte
Une reconstitution d'incident fiable provient de la corrélation de télémétries indépendantes en une seule chronologie : journaux d'authentification, données de processus/exécution de l'EDR, horodatages MAC du système de fichiers, flux réseau et événements SIEM, afin d'ordonner les actions et de borner la portée. Un seul journal ou le dernier événement à lui seul manque la chaîne et peut être trompeur ou falsifié. Deviner à partir d'une source ou interroger l'attaquant ne sont pas des méthodes d'investigation. La corrélation entre sources indépendantes révèle l'activité complète de l'attaquant et résiste à un attaquant ayant modifié l'une d'elles.
Reconstituer une intrusion de plusieurs jours est fondamentalement un problème de corrélation. Aucune source de données unique ne raconte toute l'histoire : les journaux d'authentification montrent qui s'est connecté où, l'EDR montre ce qui s'est exécuté, les dates MAC (modification/accès/changement) du système de fichiers montrent quels fichiers ont été touchés, les flux réseau montrent où sont parties les données, et le SIEM relie les alertes entre elles. Chacune est une vue partielle. La vérité émerge quand vous les fusionnez en une seule chronologie ordonnée.
Pourquoi une chronologie corrélée l'emporte
- Elle établit la séquence. Vous pouvez voir l'accès initial, puis l'exécution, puis le mouvement latéral, puis l'exfiltration — dans l'ordre — ce dont dépendent la délimitation de portée et l'analyse de cause racine.
- Elle borne la portée. La corrélation entre hôtes et comptes montre jusqu'où l'attaquant est allé, et non seulement là où vous avez regardé en premier.
- Elle résiste à la falsification. Si un attaquant a effacé un journal, les autres sources indépendantes enregistrent toujours l'activité. S'ancrer sur la télémétrie que l'attaquant ne pouvait pas facilement modifier (journaux centralisés, EDR, réseau) est ce qui rend votre reconstitution fiable.
Pourquoi les distracteurs échouent
- « Deviner à partir d'un seul fichier journal » ignore tout ce que ce journal ne capture pas et c'est précisément ce qu'un attaquant espère vous voir faire — surtout si ce journal est celui qu'il a falsifié.
- « Demander à l'attaquant » n'est pas une méthode d'investigation ; les attaquants mentent, et en général vous ne pouvez même pas leur demander.
- « Seulement l'événement le plus récent » manque toute la chaîne qui y a mené. Le dernier événement est la pointe ; la chronologie est l'iceberg.
Ce que l'examinateur cherche à évaluer
Si vous pensez comme un enquêteur forensique — assembler des sources indépendantes en une chronologie défendable, tenir compte du décalage d'horloge et de la falsification — plutôt que de réagir au premier artefact venu. À un niveau senior, on attend de vous que vous nommiez les sources et expliquiez pourquoi la corrélation, pas seulement que vous corréleriez.
Questions de suivi probables
- Comment gérez-vous le décalage d'horloge entre les sources lors de leur fusion en une seule chronologie ?
- Quelles sources sont les plus difficiles à falsifier pour un attaquant, et pourquoi vous y ancrer ?
- En quoi les dates MAC des fichiers aident-elles, et où induisent-elles en erreur (par exemple le timestomping) ?