Un outil d'analyse forensic pour vSphere

· 1 minute de lecture
Un outil d'analyse forensic pour vSphere

L'ANSSI (Agence National de Sécurité des Systèmes d'Information) vient de publier sur son répository GitHub un nouveau produit d'analyse forensic en powershell pour VMware vSphere

DFIR4vSphere se base sur le module PowerShell PowerCLI et permet de collecter des artéfacts forensics via deux fonctions :

  • Start-VC_Investigation qui récupère l’inventaire des ESXi rattachés au VCenter, les permissions positionnées sur la console et les journaux contenant les appels d’API vSphere réalisés (VI Events). Un bundle de support peut aussi être généré, cependant une analyse forensic Linux classique du vCenter est aussi recommandée.
  • Start-ESXi_Investigation qui collecte des informations et bundles de support des hôtes ESXi.

DFIR4vSphere analyse les journaux avec Splunk, ceux issus du vCenter  s’indexent facilement (format JSON). Les journaux des ESXi situés dans le dossier /var/run/logs de chaque bundle de support s’indexent à l’aide du Splunk Add-on for VMware ESXi Logs.

Splunk Add-On for VMware ESXi Logs

La présentation de l'outils :

Related Articles

Runecast 6.2
· 2 minutes de lecture
🗺 Perdu dans les solutions VMware ?
· 1 minute de lecture