Comment les virus sont détectés par les EDR
ฝัง
- เผยแพร่เมื่อ 4 มี.ค. 2023
- Vidéo en français expliquant le fonctionnement des moteurs d'analyses et de détection YARA, SIGMA et IOC des mécanismes de protection de type EDR.
Cette vidéo est à vocation instructive.
La technique présentée ici est effectuée au sein d'un environnement contrôlé dédié à cet effet.
-----------------------------------------------------------------------------------
Plus d'informations sur les EDR (et plus particulièrement Microsoft Defender for Endpoint) :
learn.microsoft.com/en-us/mic...
www.microsoft.com/fr-fr/secur...
-----------------------------------------------------------------------------------
Le lien de mon blog :
processus.site
Le lien pour rejoindre le serveur Discord :
/ discord
#yara #sigma #edr
![Fc ครับ ขอแนะนำให้รู้จักกับ "น้องเปียโน" l [Nickynachat]](http://i.ytimg.com/vi/HQU6Q_IYTLo/mqdefault.jpg)
sincerement ,pour moi vous etes la creme de la creme des youtubeurs francophones qui osent parler et apprendre aux autres l'éthical hacking malgres la censure qui regne en France.
sacré Florian Roth 💯
Merci pour cette vulgarisation. Vivement la suite 😊
Top merci 👌
Je pense qu'en complément, tu pourrais aussi parler d'Advanced Threat Defense.
intéressant ta chaîne. Continues ton bon travail dans la cybersécurité!
merci pour cette présentation des plus instructive 👍
Belles explications !
Tu l'as fait de manière simple et en moins de 10 min ! Continue comme ça :)
Un grand merci ! 🙏
Tu es trop fort , j'aime tes vidéos
Vidéo très intéressante, et bien condensé !
Merci c’est instructif ! 👍
super vidéo !!
Très interressant !
Merci pour cette vidéo, je sais que tu es analyste SOC, peux-tu nous faire une présentation de ton métier
Oui pourquoi pas :)
Bravo, pour ces explications claires et justes. Par contre, j'ai toujours du mal avec ta musique de fond, il arrive souvent qu'elle me gêne.
Yep elle est un chouïa la trop forte 🙂
trop forte et aucune valeur ajoutée à la vidéo.
Pour info, on peut faire passer des Yaras sur la RAM, juste pas avec les mêmes outils (mais la plupart des EDR le peuvent).
La vrai différence des SIGMA c'est leur capacité à décrire une séquence d'évenements et un environnement alors que la YARA permet juste de trouver un objet par son contenu.
Propre et très intéressant😍
Merci beaucoup 😁
@@processusthief Je suis un grand fan de toi. #FightCyberCrime
Comme d'habitude, vidéo précise et juste Chris. Je ne mets pas un "j'aime" pour l'instant car le nombre actuel me fera toujours rire ;) (404 )
Hahaha pas de soucis 😅
sujet très intéressant
Merci beaucoup 😊
Top 😊👏
Super !
Je veux le même sweat !
❤❤❤
salut, connait tu un logiciel ou lien qui informe sur tout fichiers et clés de registre qu'un logiciel va créer lors de l'installation ,
merci
quelles sont les différences entre les règles sigma et l'analyse heuristique ?
L’heuristique c’est du calcul, tu vas essayer de trouver de manière statique ce que fait un binaire en réduisant son entropie notamment, une règle sigma se base sur le comportement du binaire lors de son exécution, donc de manière dynamique 😉
🙋♂️😃
bonjour, comment ils feront si un payload qui charge dans le cache L1 L2 L3 du cpu en cobol même si la mémoire CPU est volatile bien plus que la ram ? j'ai même penser que si un petit malin réussi a faire son propre réseau multicouche de neurone artificiel. il pourra donc l'entrainé au polymorphisme et feindre l'antivirus.
Ça existe encore le Cobol ? 😅 on verra dans les prochains vidéos, il n’y a pas besoin d’aller si loin 😊
@@processusthief mdr oui et je me doute qu'il n'y a pas besoin d'aller si loin ;)
Oui cela existe encore pour de vieux systèmes et les dev cobol sont recherchés et plutôt bien payés :)
Bonjour une vidéos sur crowdsec ?
Pas pour l’instant 😉
J'ai mal compris un EDR cumul la fonction d'anti-virus ?
Certains oui (on appelle cette partie un EPP) et d’autres ne font que de la détection et alerting mais pas de blocage, ça dépend des éditeurs 😉
Ces termes (EPP EDR NDR XDR) proviennent du cabinet Gartner. Selon le Gartner (en 2015) EPP = Antivirus next-gen. Puis en 2017 on définit les EDR (qui viennent en complément d'un EPP sur un Endpoint pour apporter la détection et la remédiation). Maintenant le Gartner considère que tous les produits EPP font aussi de la détection et de la remédiation et donc pour le Gartner en 2023 un EPP = Antivirus next-gen + EDR. Il y a cependant encore beaucoup de solutions qui ne font que de l'AV next-Gen (exemples FR : module EPP chez Tehtris) ou que de l'EDR (exemples : module EDR chez Tehtris ou solution HarfangLab).
*Next video : How to bypass EDR 😬*
C’est un peu l’idée 😅
Concernant les Edr peux tu me suggérer un qui est open source ? Ça serait vraiment gentil de ta part
Il y a Wazuh qui est pas mal, mais ça nécessite pas mal de customization 😉
@@processusthief Ah bon moi je l'utilise déjà en tant que SIEM , j'ai déjà quelque agent sur mes serveurs. Je peux utiliser ce même principe pour les postes de travail ? Sinon qu'est ce que tu me proposes ?
@@processusthief Bien dit mais le wazuh est aussi proche de xdr
fiiiiiirst !!
Sigma est un descriptif de évent log. Il aurait été intéressant de le mentionner ainsi que sysmon par exemple qui est utilisé par certains EDR.
Parler de IOB aurait été pas mal aussi en liaison avec IOC.
Pour les IOC, cela aurait été sympa de parler de STIX2 par exemple même si cela reste limiter pour détecter et bloquer.
D’autres mécanismes basés sur le ML et les call API sont utilisés. Comme très bien dit chaque vendeur clame être un EDR mais different dans leur fonctionnement. Que ce soir harfanglab, crowdstrike, sentinel one, carbon black…
Pour le bypass cela reste assez simple.
En parlant de TTP cela aurait été pas mal de parler de MITRE Attack.
Vidéo vulgarisante pas mal :)
Yes je compte parler de sysmon, le hooking DLL et les routines de créations de process dans les prochaines vidéos 😉
Yes je compte parler de sysmon, le hooking DLL et les routines de créations de process dans les prochaines vidéos 😉
Good video , but please lower the music volume a little
Clair
on veux tout voir même le pire lol