Aller au contenu principal

Harfanglab

Harfanglab

Description

L'EDR Harfanglab peut être déployé dans le cadre d'un lab.

Il est opérationnel à la fois sur Linux et Windows et communique vers un SIEM Hurukai préconfiguré.

Configuration

L'EDR Harfanglab est configuré pour envoyer ses logs par proxy à l'URL de l'Hurukai.

Activation

Vous devez fournir 4 entrées différentes :

  • hurukai_host : Adresse IP ou nom d'hôte du gestionnaire EDR
  • hurukai_key : Clé d'appariement de l'agent avec son gestionnaire
  • hurukai_sig : Signature publique du hurukai
  • hurukai_pass : Mot de passe de l'agent
  • api_token : jeton d'API à utiliser. Ce jeton n'est pas utilisé dans les machines du lab.

Utilisation

Une fois que le laboratoire fonctionne, vous pouvez inspecter les alertes fournies en vous connectant à votre URL hurukai_host.

img
img

Sur le tableau de bord, vous pouvez voir différentes informations, notamment :

  • le nombre d'agents actifs dans le lab
  • les alertes déclenchées et leur niveau de gravité
  • le nombre de malwares potentiels

Les événements de sécurité peuvent être associés à la matrice MITRE ATT&CK afin de préciser les techniques et tactiques de chaque événement.

Dernière mise à jour:
Copyright © 2025 AMOSSYS