Comment utiliser ADTimeline pour suivre les modifications dans l’AD et analyser avec Splunk
Introduction
Dans cet article, nous allons aborder l’utilisation de l’outil ADTimeline proposé par l’ANSSI pour identifier les actions malveillantes au sein de l’Active Directory. Nous explorerons les différentes méthodes pour accéder à la traçabilité des changements ainsi que l’utilisation de Splunk pour analyser les données collectées.
Traçabilité des changements dans l’Active Directory
Les journaux d’audit sont essentiels pour suivre les changements opérés dans l’Active Directory. Malheureusement, cette pratique est souvent négligée. Les métadonnées de réplication constituent une autre source d’informations précieuses en l’absence de journaux d’audit.
Les métadonnées de réplication fournissent des informations sur les modifications effectuées sur les objets de l’Active Directory, y compris les attributs modifiés. Elles peuvent être consultées à l’aide de commandes PowerShell telles que “Get-ADUser” et “Get-ADGroup”.
Qu’est-ce que l’outil ADTimeline ?
ADTimeline est un outil développé par l’ANSSI pour suivre les modifications apportées à l’Active Directory en utilisant les métadonnées de réplication. Il est gratuit, développé en PowerShell, et disponible sur GitHub. L’outil a été présenté lors de l’événement CoRI&IN 2019.
Exécuter un audit avec ADTimeline
ADTimeline permet d’analyser l’Active Directory en ligne ou à partir d’une base hors ligne. En utilisant PowerShell, il est possible de générer des rapports d’audit et d’analyser les données collectées. Les fichiers générés par ADTimeline doivent être analysés à l’aide de Splunk pour obtenir des rapports détaillés.
Analyser les données d’ADTimeline avec Splunk
Splunk est une solution puissante pour l’analyse des données générées par ADTimeline. L’installation de Splunk sur un serveur Windows Server est simple et les fichiers générés par ADTimeline doivent être importés dans Splunk pour être exploités. L’application ADTimeline pour Splunk facilite l’analyse des données.
Les différentes fonctionnalités de Splunk permettent d’explorer les données, d’obtenir des informations sur l’infrastructure de l’Active Directory, de suivre les menaces, et d’identifier les activités suspectes. Ces analyses nécessitent une bonne connaissance de l’Active Directory et des attaques potentielles pour être efficaces.
Conclusion
ADTimeline est un outil précieux pour les administrateurs système et les professionnels de la cybersécurité. Son utilisation conjointe avec Splunk permet d’analyser les données et de détecter les activités suspectes dans l’Active Directory. Cependant, une compréhension approfondie de l’Active Directory est nécessaire pour tirer pleinement parti de ces outils.
Source : www.it-connect.fr