Sécurité et audit basés sur l'hôte

Intermédiaire

Renforcez la sécurité de vos hôtes grâce à AIDE pour la surveillance de l'intégrité des fichiers et à auditd pour l'audit système de bas niveau. Apprenez à analyser les journaux système pour détecter les attaques par force brute et les élévations de privilèges.

cybersecurity-engineercybersecurityhydrakali

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Sécurité et audit au niveau de l'hôte

Apprenez la sécurité et l'audit au niveau de l'hôte sous Linux en vous concentrant sur les traces laissées par un attaquant sur le système lui-même. Si le trafic réseau peut indiquer qu'un événement s'est produit, les artefacts sur l'hôte permettent d'expliquer ce qui a été modifié, qui y a accédé et comment la compromission s'est déroulée. Ce cours vous apprend à utiliser la surveillance de l'intégrité des fichiers, auditd et l'analyse des journaux système pour détecter les altérations, enquêter sur les activités suspectes et renforcer la sécurité des hôtes Linux.

Pourquoi est-ce important ?

Les attaquants laissent rarement un système intact. Ils modifient des fichiers, s'authentifient sur des services, élèvent leurs privilèges et interagissent avec des répertoires sensibles. Si vous êtes capable de surveiller ces actions au niveau de l'hôte, vous pouvez détecter des activités qui n'apparaissent jamais clairement dans les outils basés uniquement sur le réseau.

Ce cours est conçu pour les défenseurs ayant besoin d'une visibilité pratique sur Linux. Vous établirez une base de référence pour les fichiers de confiance, configurerez des règles d'audit de bas niveau, analyserez les journaux opérationnels et combinerez ces signaux dans un flux de travail réaliste de renforcement et d'investigation.

Ce que vous allez apprendre

Créer et vérifier des bases de référence d'intégrité des fichiers pour détecter les modifications non autorisées.
Configurer des règles auditd pour surveiller les fichiers, commandes et répertoires sensibles.
Analyser les journaux d'authentification et système Linux pour détecter les tentatives de force brute et les abus de privilèges.
Corréler les données d'intégrité, d'audit et de journaux dans une enquête unique sur l'hôte.
Appliquer plusieurs contrôles au niveau de l'hôte dans un scénario réaliste de renforcement de la sécurité.

Feuille de route du cours

Surveillance de l'intégrité des fichiers (FIM) : Utiliser AIDE pour établir une base de référence fiable et identifier les modifications de fichiers non autorisées.
Audit système avec Auditd : Configurer des règles d'audit au niveau du noyau pour suivre les opérations sensibles avec une grande précision.
Analyse des journaux système : Examiner auth.log et syslog pour identifier les échecs de connexion, les abus de sudo et les modèles d'accès suspects.
Renforcement de la sécurité de l'hôte : Combiner la surveillance de l'intégrité et l'audit pour enquêter sur une menace simulée de type interne et la contenir.

À qui s'adresse ce cours ?

Aux analystes SOC et aux défenseurs ayant besoin de compétences renforcées en investigation au niveau de l'hôte.
Aux administrateurs Linux souhaitant acquérir des techniques pratiques d'audit et de renforcement.
Aux apprenants souhaitant passer de l'analyse de paquets à la sécurité des terminaux et des serveurs.

Résultats attendus

À la fin de ce cours, vous serez capable de surveiller les hôtes Linux critiques pour détecter toute altération, d'enquêter sur les accès suspects et de mettre en place une couverture d'audit plus robuste pour des environnements opérationnels réels.