Formation « Détection des incidents de sécurité »

Réf. : DNDA32
Durée : 5 jours
Tarif : 3600,00  HT

Objectifs

A l’issue de la formation, vous serez capable de :

Contenu de la formation

Préalable :

Le SOC est la brique indispensable pour les détecter et limiter, les impacts d’une compromission. Détecter est impératif face au niveau de menace actuel et ce sont l’efficacité des analystes et l’intelligence des règles qui font la différence.

Objectifs :

A l’issude la formation le stagiaire sera capable de :

  • Former les analystes SOC à la détection et aux spécificités de la détection système, en abordant les aspects méthodologiques, théoriques et pratiques de la création d’alertes et de leur investigation, en s’appuyant principalement sur l’environnement Windows.
  • Appliquer la notion de « prévention détective » 

Contenu de programme :

Panorama de la détection système

  • Chaîne de détection et terminologie
  • Organisation des équipes
  • Sources de données
  • Quoi collecter ?
  • Normalisation et standardisation des données
  • Connaissance du SI supervisé et des pratiques d’administration
  • Cycle de vie des signatures
  • Tableaux de bord
  • Environnement, contexte de détection, interaction avec les autres acteurs de la sécurité opérationnelle

Méthodologies

  • Kill chain / Mitre attack
  • « Pyramide of pain » et détection de menace connue vs inconnue
  • Démarche de création et de hiérarchisation des nouvelles alertes
  • Compréhension des apports de l’apprentissage automatique (machine learning)
  • notions clés
  • comment travailler avec les experts en mégadonnées (data scientists)

 Techniques de détection pour Windows

  • Détection grâce aux journaux d’authentification :
  • ActiveDirectory, Kerberos, NTLM, lsass, ntds, sam
  • moyens de détection des outils et techniques de vol d’authentifiant dont mimikatz
  • Techniques d’attaque et de détection Powershell
  • Pré-requis et création de règles Sysmon
  • Détection des techniques de latéralisation : RDP, SMB, PSRemoting, WMI
  • Détection de la persistance : création de services, tâches planifiées, clés de registres, dossiers startup
  • Repérage des traces générées par les outils communément utilisés par les attaquants : Cobalt Strike, Empire, Lolbins
  • Fonctionnement et détection des élévations de privilège : SID, Niveau d’intégrité, token
  • Détection en amont la reconnaissance faite par l’attaquant au sein du SI : adfind, bloodhoud, LOLBins

Techniques de détection de compromission d’autres environnements

  • Linux : auditd, wazuh, ossec
  • Réseau : scans, flux, beaconning, trafic HTTP/HTTPS sortant, trafic DNS
  • Infonuagique (Cloud) : API et services
  • OT (systèmes industriels, objets connectés)

Processus d’investigation d’une alerte

  • Processus de chasse (hunting)
  • SOAR (ochestration, automatisation et réponse aux incidents de sécurité)

Fin de session et evaluation

  • Examen de certification
  • A l’issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cette examen de type QCM de savoir-faire, pas un simple test de connaissance, dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l’examen donne droit à la certification SECUSOC .

Public

Analystes SOC 

Pré-requis

  • Avoir de bonnes bases en cybersécurité
  • Connaissance d’un SIEM (ELK, Logpoint, Prelude, Qradar, Splunk, etc)
  • Avoir suivi une formation SPLUNK ou ELASTICSEARCH
  • Avoir un SOC dans son organisation  

Méthodes pédagogiques

La méthode pédagogique se fonde sur les 3 axes suivants :

  1. Un cours magistral sur le sujet, construit en partant des textes et documents officiels mais adapté de façon à rendre la matière compréhensible en langage courant, pour aboutir à des recommandations opérationnelles
  2. Cas pratiques et d’exemples concrets illustrant les notions explicitées profitant du partage d’expérience des formateurs
  3. Des exercices pratiques effectués par les stagiaires, basés sur des études de cas, permettant de se confronter à des cas réels et de se préparer aux questions de l’examen.
Réf. : DNDA32
Durée : 5 jours
Tarif : 3600,00  HT
Partager cette formation
Partager sur facebook
Facebook
Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn

Demande de devis

*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants

Prochaines sessions

08/08/2022
07/11/2022
06/02/2023
08/05/2023

*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants

Nous contacter

Nouvelles formations

Dernières actualités

Nous suivre