CE QU'IL FAIT
Un opérateur, attaque et défense.
Riposte ne choisit pas de camp. Le côté rouge trouve et prouve une vraie brèche ; le côté bleu écrit la règle qui la détecte la prochaine fois. Voici ce que fait chaque main.
Attaque
Trouver la brèche qu'une personne trouverait, et prouver qu'elle est réelle.
Reconnaissance
Énumérer une cible autorisée et cartographier sa surface d'attaque : hôtes, ports, services, et les brèches qui valent la peine d'être pressées.
Web
Tester les entrées web pour l'injection, le contournement d'authentification et les erreurs de configuration, puis ouvrir la brèche contre une référence pour que le constat repose sur des preuves.
Cloud
Parcourir une empreinte cloud à la recherche de stockage exposé, de politiques trop larges et de rôles qui portent plus loin qu'ils ne le devraient.
Identifiants
Vérifier les surfaces que vous autorisez à la recherche d'identifiants faibles, réutilisés et par défaut, tenu en laisse et jamais au-delà du périmètre.
Vérification du périmètre refusé par défaut avant chaque action. L'attaque tenue en laisse.
Défense
Écrire la règle qui détecte la même brèche la prochaine fois.
Tri SOC
Lire les alertes et les logs, regrouper le bruit, et faire remonter ce qu'un analyste doit regarder en premier, raisonnement à l'appui.
Règles SIEM
Rédiger des règles à partir de preuves réelles, pas d'un prompt vague, et les compiler dans le langage de requête propre à votre SIEM.
Rejeu blue-team
Rejouer l'attaque contre un double instrumenté pour prouver qu'une règle se déclenche, résiste à une variante et reste discrète avant sa livraison.
Une règle rédigée n'est livrée que si elle franchit chaque porte. Sinon elle est retenue.
pré-alpha . apache-2.0 . aucune télémétrie . fonctionne hors ligne