Détection d'une tentative RDP
SOC Detection Scenario
RDP Brute Force Detection
Ce scénario simule une attaque brute force RDP sur un serveur Windows afin de tester la capacité du SOC à détecter des tentatives d’authentification suspectes.
← Retour aux projetsContexte
Un attaquant tente plusieurs connexions RDP sur un serveur Windows afin de deviner les identifiants d’un compte.
Simulation
Plusieurs tentatives de connexion RDP échouées sont générées depuis une machine externe vers le serveur Windows.
Logs générés
Les tentatives échouées génèrent des événements dans le journal Windows Security :
Event ID: 4625 Account failed to log on Logon Type: 10 (Remote Interactive)
Détection SIEM
Wazuh corrèle plusieurs événements 4625 provenant de la même adresse IP afin d’identifier une tentative de brute force.
Pipeline SOC
La chaîne de détection suit les étapes suivantes :
Windows Event Logs ↓ Wazuh Agent ↓ Wazuh Manager (SIEM) ↓ Alert Correlation ↓ Incident Creation (TheHive) ↓ IOC Enrichment (Cortex)
Analyse SOC
Les indicateurs sont analysés et enrichis via Cortex afin d’évaluer la réputation de l’adresse IP source.
MITRE ATT&CK
Technique associée :
- T1110 — Brute Force
- T1021 — Remote Services
Résultat
Le scénario valide la capacité du lab SOC à détecter une activité de brute force RDP, générer une alerte SIEM et créer automatiquement un incident dans TheHive pour investigation.