SSTIC2023 » Présentation » OpenWEC : un serveur de collecte de journaux d’événements Windows basé sur le protocole WEF

OpenWEC : un serveur de collecte de journaux d’événements Windows basé sur le protocole WEF — Vincent Ruello, William Bruneau

Date : 07 June 2023 à 14:30 — 15 min.

OpenWEC (OpenWC pour les intimes) collecte les journaux d'événements Windows depuis une machine Linux. C'est une implémentation en Rust du mode "source initiated" ("push") du protocole Windows Event Forwarding (MS-WSMV). Ce protocole est supporté nativement par le forwarder d’évènements Windows, il n'y a donc pas besoin d'ajouter d'agent local. De plus, les échanges sont authentifiés et chiffrés à l'aide de Kerberos.
https://github.com/cea-sec/openwec

Lien permanent
Slides
Vidéo de la présentation
Vidéo de la présentation (basse qualité)