Exporter des preuves réseau suspectes

Introduction

Dans ce défi, vous incarnerez un analyste de sécurité chez TechDefend qui a détecté un trafic HTTP suspect. Votre tâche consiste à utiliser Wireshark pour isoler ce trafic à partir d'un fichier réseau pré-capturé et à l'exporter au format CSV pour l'analyse de l'équipe de criminalistique (forensics team).

Cet exercice testera votre capacité à ouvrir des captures de paquets, à appliquer des filtres de protocole dans Wireshark et à exporter les données filtrées dans le format requis. Vous devrez vous assurer que les preuves exportées sont correctement enregistrées à l'emplacement désigné, avec toutes les informations nécessaires du protocole HTTP intactes.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/display_filters -.-> lab-548847{{"Exporter des preuves réseau suspectes"}} wireshark/export_packets -.-> lab-548847{{"Exporter des preuves réseau suspectes"}} end

Exportation de preuves réseau suspectes

En tant qu'analyste de sécurité chez TechDefend, vous avez détecté un trafic HTTP inhabituel qui pourrait indiquer une violation potentielle. Votre superviseur a besoin de ces preuves pour une enquête urgente. Vous devez rapidement isoler le trafic HTTP suspect et l'exporter dans un format approprié pour l'analyse de l'équipe de criminalistique (forensics team).

Tâches

Appliquer un filtre pour afficher uniquement le trafic HTTP, puis exporter ces paquets sous forme de fichier CSV nommé evidence.csv dans le répertoire /home/labex/project.

Exigences

Ouvrir le fichier network_traffic.pcap fourni dans Wireshark en utilisant le terminal ou l'interface graphique (GUI).
Utiliser la fonctionnalité de filtre de Wireshark pour afficher uniquement le trafic HTTP.
Exporter le trafic HTTP filtré sous forme de fichier CSV nommé evidence.csv.
Enregistrer le fichier CSV dans le répertoire /home/labex/project.
Le fichier exporté doit contenir des informations sur le protocole HTTP.

Exemples

Voici un petit exemple de ce à quoi pourrait ressembler le fichier CSV exporté (le contenu réel dépendra du trafic capturé) :

Astuces

Pour ouvrir Wireshark à partir du terminal, tapez simplement wireshark dans le terminal et appuyez sur Entrée.
Pour ouvrir un fichier de capture spécifique, vous pouvez utiliser wireshark /home/labex/project/network_traffic.pcap.
Le filtre de base pour afficher uniquement le trafic HTTP consiste simplement à taper "http" dans la zone de filtre en haut de Wireshark.
Pour exporter les paquets au format CSV, allez dans Fichier → Exporter les dissections de paquets → En tant que CSV.
Assurez-vous de sélectionner l'emplacement de fichier correct (/home/labex/project) et le nom de fichier (evidence.csv) lors de l'enregistrement.

✨ Vérifier la solution et pratiquer

Résumé

Dans ce défi, j'ai travaillé en tant qu'analyste de sécurité chez TechDefend pour isoler et exporter le trafic HTTP suspect à partir d'une capture réseau. En utilisant Wireshark, j'ai ouvert un fichier de paquets pré-capturé (network_traffic.pcap), appliqué des filtres pour afficher uniquement le trafic HTTP et exporté les données filtrées sous forme de fichier CSV nommé evidence.csv dans le répertoire spécifié.

Ce défi a démontré des compétences essentielles d'analyste de sécurité, notamment l'analyse du trafic réseau avec Wireshark, l'application de filtres spécifiques au protocole et l'exportation correcte des preuves dans un format approprié pour une enquête forensique (forensic investigation). Ces techniques sont cruciales pour les professionnels de la sécurité lorsqu'ils identifient et documentent les violations potentielles du réseau pour une analyse plus approfondie.