Analyse Inforensique avancée niv 2

Réf. : DN-33297
Durée : 5 Jours
Tarif : 3600,00  HT

Objectifs

A l’issue de la formation, vous serez capable de :

  • Appréhender la corrélation des évènements
  • Retro-concevoir des protocoles de communications
  •  Analyser des systèmes de fichiers corrompus
  •  Connaître et analyser la mémoire volatile des systèmes d’exploitation

Contenu de la formation

Introduction à l’inforensique réseau
  • Incident de sécurité
    • Présentation
    • Quels sont les étapes d’une intrusion ?
    • Quels impacts de celles-ci ?
    • Indices de compromission (IOC)
  • Introduction au threat intel (Misp, Yeti, etc.)
    • Quels sont les outils / ressource à disposition ?
    • Création d’IOC
    • Hunting & Triage (à distance ou en local)
    • GRR, Kansa, OS Query,
  • Comment analyser et automatiser l’analyse du résultat de notre Hunting ?
    • NSRLDB
    • Packing/Entropie/, etc…
Analyse forensic post-mortem réseau
  • Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feu, Syslog)
  • Analyse de capture réseau (PCAP)
  • Analyse statistique des flux (Netflow)
  • Canaux de communications avec les serveurs de Command and Control
  • Détection des canaux de communications cachées (ICMP, DNS)
  • Détection des techniques de reconnaissances
  • Création de signatures réseaux
Mémoire volatile
  • Introduction aux principales structures mémoires
  • Analyse des processus
    • Processus “cachés”
    • Traces d’injection de code et techniques utilisées
    • Process-Hollowing
  • Shell code – détection et analyse du fonctionnement
  • Handles
  • Communications réseaux
  • Kernel : SSDT, IDT, Memory Pool
  • Utilisation de Windbg
  • Création de mini-dump
  • Travaux pratique
    • Analyse “live” d’un système
FileSystem (NTFS only)
  • Introduction au FS NTFS et aux différents artefacts disponibles
  • Présentation de la timerules sous Windows/Linux/OSX
  • Timeline filesystemTim
  • Testomping + toutes les opérations pouvant entravers une timeline “only fs
Trace d’exécution et mouvement latéraux
  • Trace de persistances
  • Autostart (Linux/Windows/OSX)
  • Services
    • Tâches planifiées
    • WMI
  • Travaux Pratique investigation forensic 
    • Active Directory – Détecter une compromission
    • Comment générer une timeline des objets AD ?
    • Recherche de “backdoor” dans un AD (bta, autres outils, …)
    • Présentation des principaux EventID et relations avec les outils d’attaques (golden ticket, etc.)
Super-Timeline
  • Présentation
  • Cas d’utilisations
    • Timesketch 
Evaluation
  • Via QCM et apport des correctifs

Autre formation complementaires 

Public

  • Investigateurs numériques souhaitant progresser,
  • Analystes des SOC et CSIRT (CERT),
  • Administrateurs système, réseau et sécurité,

Pré-requis

  • Avoir une bonne expérience opérationnelle en informatique,
  • Avoir une expérience en analyse post-mortem sous Windows et maitriser le processus d’investigation sur un poste Windows,
  • Etre certifier  CEH CHFI

Méthodes pédagogiques

  • Cours magistral illustré par des travaux pratiques réguliers.
  • Formation presentielle  et distancielle
Réf. : DN-33297
Durée : 5 Jours
Tarif : 3600,00  HT
Partager cette formation
Facebook
Twitter
LinkedIn

Demande de devis

*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants
Format Paris - Lille
Durée 5 Jours
Prix 3600 € HT
Demande de devis
Format Dans vos locaux ou à distance
Durée 5 Jours
Prix Nous contacter
Demande de devis

Vous souhaitez une formation sur-mesure ou vous disposez d’un cahier des charges ?

Nous contacter

Prochaines sessions

29/03/2024
13/06/2024
19/09/2024
24/10/2024

*Sous réserve de maintien de la session
Sessions inter entreprises ouvertes à partir de 3 participants
Intra : base tarifaire pour un groupe de 3 personnes

Nouvelles formations

Dernières actualités

Nous contacter

Nous suivre