PowerShell pour la cybersécurité

PowerShell est un shell et un langage d'automatisation très présent sur Windows. En cybersécurité, il sert autant à l'administration, l'audit, l'investigation et la détection qu'aux abus quand il est mal surveillé.

Bases

PowerShell utilise des cmdlets sous forme verbe-nom.

Get-Process
Get-Service
Get-LocalUser
Get-ChildItem

Les objets retournés peuvent être filtrés, triés et exportés.

Get-Process | Sort-Object CPU -Descending | Select-Object -First 10

Aide et découverte

Get-Help Get-Service
Get-Command *Event*
Get-Member

Get-Member permet de comprendre les propriétés disponibles sur les objets.

Commandes utiles

whoami
Get-LocalUser
Get-LocalGroup
Get-LocalGroupMember Administrators
Get-Service
Get-Process
Get-NetTCPConnection

Ces commandes aident à inventorier le poste, les services, les connexions et les droits locaux.

Journaux Windows

PowerShell permet de lire les événements.

Get-WinEvent -LogName Security -MaxEvents 20
Get-WinEvent -LogName System -MaxEvents 20

Les journaux sont essentiels pour analyser les connexions, erreurs, démarrages de services et comportements suspects.

Sécurité PowerShell

Points à connaître :

• Execution Policy n'est pas une barrière de sécurité forte
• les scripts doivent être signés dans les environnements sensibles
• la journalisation PowerShell est très utile
• les commandes encodées doivent attirer l'attention
• les téléchargements et exécutions en mémoire sont à surveiller

Logs intéressants

À activer ou surveiller selon le contexte :

• PowerShell Script Block Logging
• Module Logging
• Transcription
• événements de création de processus
• Sysmon si déployé

Bons réflexes

• utiliser PowerShell pour inventorier proprement
• éviter d'exécuter des scripts inconnus
• journaliser les usages administratifs
• limiter les droits admin locaux
• surveiller les commandes suspectes
• documenter les scripts internes