## L'ombre dans les journaux
Des signes d'intrusion se cachent dans nos systèmes : des accès non autorisés ont été enregistrés sans alerte.
À vous de recouper ces informations pour identifier l'employé suspect.
## Objectif de la mission :
- Déterminer l'adresse IP utilisée pour l'accès malveillant
- Identifier le poste compromis
- Retrouver l'identité de l'employé responsable
## Documents mis à votre disposition :
- Logs EVTX de l'Active Directory
- Tableur Excel attribuant les adresses IP au nom des postes
- Tableur Excel RH listant les employés et leurs postes
## Votre rôle :
- Croiser les informations issues des différentes sources
- Reconstituer la chaîne d'événements menant à l'identification du responsable
- Fournir les éléments précis permettant d'attribuer l'accès malveillant
Résolution
La première étape est de s'intéresser aux logs evtx du PC Admin sur lequel on se doute qu'il y a eu une intrusion.
Il faut donc se tourner instinctivement vers le journal Security.
On peut ensuite repérer à des heures étranges des tentatives de connexion échouées aux alentours de 4h et jusqu'à 6h où il y a enfin une qui a abouti.
Comme les logs sont assez difficiles à voir, un autre moyen est de filtrer par id d'évènements.
Il faut savoir que l'id 4624 est une connexion réussie et 4625 une tentative échouée.
On s'attarde donc sur cet évènement et on peut voir l'adresse IP utilisée pour se connecter.
On peut ensuite trouver l'heure à laquelle l'utilisateur a réussi à se connecter pour la première fois en regardant juste au-dessus de la dernière tentative échouée.
Après avoir récupéré l'ip utilisée, on se dirige vers le fichier qui relie les ip au nom des pc.
La recherche donne cette ligne sur le tableur.
Maintenant qu'on a le nom du pc suspect, on remonte dans le deuxième tableur pour faire correspondre le nom du pc avec le nom de l'employé.
On obtient donc le lead dev sur le tableur ce qui nous donne le nom du potentiel attaquant.
