Detect RDP brute force attacks on Windows Server 2012 with Azure Sentinel — Part 1

I recently tried to figure out how to detect a RDP Bruteforece attack on Windows Server 2012. In this first part, we will focus on the Windows Server machine logs, and how to integrate them with Azure Sentinel. The second part will be focused on detecting uncommon behaviors. Let’s get into it by first identifying …

Intune troubleshooting – Partie 3 : collecter (à distance) ce que vous voulez (fichiers, dossiers, event logs…) sur vos machines

Dans cet article, je vais vous présenter un moyen de collecter à distance via Intune ce que vous voulez sur des machines (fichiers, dossiers, event logs…) et les uploader sur Azure ou GitHub. Contexte Par défaut, il est difficile du troubleshooting approfondi des postes de travail.Si vous souhaitez accéder à des fichiers, ou event logs, …

Create a simple KQL parser for Azure Sentinel

In this post, we focus on a Windows Server 2012 log channel : Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational. This channel gives information regarding failed authentications on RDP, remote IP addresses, etc… and is useful for security analysis. In this article, we will see how the parser works, which might be interesting in order to tweak it as needed or to create …

Import Office 365 Message Trace logs into Azure Sentinel — Part 1

During my experiments with Azure Sentinel, I noticed that the Office 365 connector does not support Message Trace. A workaround is described in this article, and allows to analyze email trafic with fields like sender, receiver, date and subject from Azure Sentinel. This first part deals with punctual import i.e. the import of logs only once. A second part will deal …

Créer votre lab Microsoft Endpoint Configuration Manager Current Branch 2002

Dans cet article, je vais vous expliquer comment créer votre propre lab Microsoft EndPoint Configuration Manager en version Current Branch 2002. SCCM est mort, vive MECM ? Non SCCM n’est pas mort.Tout du moins le produit en tant que tel car ce n’est que le nom SCCM qui meurt pour laisser la place à MECM.Il …

Intune troubleshooting – Partie 2 : collecter (à distance) les logs de vos appareils et les uploader sur GitHub

Dans cet article, je vais vous présenter un moyen de collecter à distance via Intune les logs relatifs à Intune de vos appareils enrôlés et de les uploader sur GitHub. Contexte Par défaut, Intune n’offre pas beaucoup de possibilités pour faire du troubleshooting sur un poste.Pour cela, il faut souvent aller sur la machine, vérifier …

Intune troubleshooting – Partie 1 : collecter les logs de vos appareils et les uploader sur Azure file

Dans cet article, je vais vous présenter un moyen de collecter via Intune les logs relatifs à Intune de vos appareils enrôlés et de les uploader sur Azure file. Contexte Par défaut, Intune n’offre pas beaucoup de possibilités pour faire du troubleshooting sur un poste.Pour cela, il faut souvent aller sur la machine, vérifier les …

Gérer votre GitHub avec PowerShell

Dans cet article nous allons voir comment gérer votre compte GitHub avec PowerShell.Nous allons voir comment vous connecter, gérer vos repositories (lister, créer, supprimer), uploader des fichiers… Le module PowerShell Pour intéragir facilement avec GitHub depuis PowerShell un module super cool (disponible sur la PSGallery), réalisé par l’équipe PowerShell est disponible. Vous pouvez trouver davantage …

Mettre une Task Sequence en pause à la volée avec juste une variable

Dans cet article, je vais vous expliquer comment mettre vos Task Sequence (MDT, SCCM) en pause à la volée à l’aide d’une variable. Il sera alors possible de mettre une TS en pause quand on le souhaite et autant de fois que l’on veut sans avoir à ajouter un step dans sa TS. Contexte Vous …

Gérer les settings BIOS (Lenovo, Dell, HP) avec Intune

Dans cet article je vais vous présenter une méthode permettant de changer les paramètres BIOS depuis Intune sur vos machines Dell, Lenovo et HP. Contexte Vous souhaitez appliquer certains paramétrage de BIOS sur plusieurs machines.Nous allons créer un fichier CSV.Dans celui-ci, nous allons ajouter le nom des settings BIOS que nous souhaitons modifier ainsi que …