Formation « Détection des incidents de sécurité »

Réf. : DN-33437
Durée : 5 jours
Tarif : 3780,00  HT

Objectifs

A l’issu de la formation le stagiaire sera capable de :

  • Former les analystes SOC à la détection et aux spécificités de la détection système, en abordant les aspects méthodologiques, théoriques et pratiques de la création d’alertes et de leur investigation, en s’appuyant principalement sur l’environnement Windows.
  • Appliquer la notion de “prévention détective

Contenu de la formation

Panorama de la détection système
  • Chaîne de détection et terminologie
  • Organisation des équipes
  • Sources de données
  • Quoi collecter ?
  • Normalisation et standardisation des données
  • Connaissance du SI supervisé et des pratiques d’administration
  • Cycle de vie des signatures
  • Tableaux de bord
  • Environnement, contexte de détection, interaction avec les autres acteurs de la sécurité opérationnelle
Méthodologies
  • Kill chain / Mitre attack
  • « Pyramide of pain » et détection de menace connue vs inconnue
  • Démarche de création et de hiérarchisation des nouvelles alertes
  • Compréhension des apports de l’apprentissage automatique (machine learning)
  • notions clés
  • comment travailler avec les experts en mégadonnées (data scientists)
 Techniques de détection pour Windows
  • Détection grâce aux journaux d’authentification :
  • ActiveDirectory, Kerberos, NTLM, lsass, ntds, sam
  • moyens de détection des outils et techniques de vol d’authentifiant dont mimikatz
  • Techniques d’attaque et de détection Powershell
  • Pré-requis et création de règles Sysmon
  • Détection des techniques de latéralisation : RDP, SMB, PSRemoting, WMI
  • Détection de la persistance : création de services, tâches planifiées, clés de registres, dossiers startup
  • Repérage des traces générées par les outils communément utilisés par les attaquants : Cobalt Strike, Empire, Lolbins
  • Fonctionnement et détection des élévations de privilège : SID, Niveau d’intégrité, token
  • Détection en amont la reconnaissance faite par l’attaquant au sein du SI : adfind, bloodhoud, LOLBins
Techniques de détection de compromission d’autres environnements
  • Linux : auditd, wazuh, ossec
  • Réseau : scans, flux, beaconning, trafic HTTP/HTTPS sortant, trafic DNS
  • Infonuagique (Cloud) : API et services
  • OT (systèmes industriels, objets connectés)
Processus d’investigation d’une alerte
  • Processus de chasse (hunting)
  • SOAR (ochestration, automatisation et réponse aux incidents de sécurité)
Fin de session et evaluation
  • Examen de certification
  • A l’issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cette examen de type QCM de savoir-faire, pas un simple test de connaissance, dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l’examen donne droit à la certification SECUSOC .

Autres formation complémentaire 

  • Formation Détection et réponse aux incidents de sécurité  (Blue Team )

 

Formation ISO

Public

.Analystes SOC

Pré-requis

  • Avoir de bonnes bases en cybersécurité
  • Connaissance d’un SIEM (ELK, Logpoint, Prelude, Qradar, Splunk, etc)
  • Avoir suivi une formation SPLUNK ou ELASTICSEARCH
  • Avoir un SOC dans son organisation

Méthodes pédagogiques

La méthode pédagogique se fonde sur les 3 axes suivants :

  1. Un cours magistral sur le sujet, construit en partant des textes et documents officiels mais adapté de façon à rendre la matière compréhensible en langage courant, pour aboutir à des recommandations opérationnelles
  2. Cas pratiques et d’exemples concrets illustrant les notions explicitées profitant du partage d’expérience des formateurs
  3. Des exercices pratiques effectués par les stagiaires, basés sur des études de cas, permettant de se confronter à des cas réels et de se préparer aux questions de l’examen.
Réf. : DN-33437
Durée : 5 jours
Tarif : 3780,00  HT
Partager cette formation
Facebook
Twitter
LinkedIn

Demande de devis

*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants
Format Paris - Lille
Durée 5 jours
Prix 3780 € HT
Demande de devis
Format Dans vos locaux ou à distance
Durée 5 jours
Prix Nous contacter
Demande de devis

Vous souhaitez une formation sur-mesure ou vous disposez d’un cahier des charges ?

Nous contacter

Prochaines sessions

08/07/2024
30/09/2024
25/11/2024
02/12/2024
30/12/2024

*Sous réserve de maintien de la session
Sessions inter entreprises ouvertes à partir de 3 participants
Intra : base tarifaire pour un groupe de 3 personnes

Nouvelles formations

Dernières actualités

Nous contacter

Nous suivre