Encrypted Traffic Analytics (ETA)

Réf. : DNDAFP21

Durée : 5 jours

Tarif : 2500 € HT

Objectifs :

Maîtriser les techniques d’acquisition de trafic réseau 
Analyse des sessions de poignée de main TLS 
Comprendre l’heuristique de la détection des logiciels malveillants
Maître enquête sur le trafic crypté

Outils à maîtriser :

Tshark /  Wirerequin.
Pile DE WAP
Git
Langage de programmation  Python

Module 1 : Introduction

Défis en matière de cybersécurité
Les pare-feu peuvent-ils vraiment protéger les actifs de l’entreprise ?
IDS peut-il vraiment prévenir l’intrusion ?
Comment le trafic crypté peut-il devenir une menace ?
BASES HTTPS et TLS 

Module 2 : Acquisition de trafic

Introduction : Fichiers Pcap 
Application I : Acquisition de trafic avec wireshark
Acquisition de trafic avec un IDS
Application II : Acquisition de trafic avec un outil de ligne de commande : tshark
Comment automatiser l’acquisition de trafic ?
Options d’acquisition de trafic

Module 3 : Exploration du trafic réseau

Exploration visuelle avec Wireshark
Filtrer le trafic avec des options de tshark
Application I : générer des adresses IP hôte/destination
Application II : extraction d’urls visitées à partir d’un fichiers pcap donnés.

Module 4 : Extraction des fonctionnalités 

Filtrage avec des attributs spécifiques
Générer des données tabulaires à partir d’un fichier pcap
Application I : Exportation d’attributs dans des formats json
Application II : Exploration de données avec python
Générer des attributs de télémétrie réseau.
Automatisation de la génération de télémétrie réseau

Module 5 : Télémétrie du trafic réseau avec ELK

Introduction : Pile ELK
Pcapbeat a généré des données 
Tableaux de bord Packetbeat
Tous les battements de fichiers
Modules IDS filebeats 

Module 6 : Analyse du trafic crypté

Flux Https
Filtrage des sessions TLS 
Analyse des certificats TLS
Analyse de la poignée de main TLS
Cryptage et combinaisons chiffrés

Module 7 : Détection des logiciels malveillants

Botnets - C&C : Modus-operandi
Torjans financiers en vedette.

Module 8 : Intelligence de menace dans le trafic crypté 

Principaux facteurs à prendre en considération
Modèles communs I: JA3/ JA3S 
Modèles communs II: DGA 
Modèles communs III: 1M
Application : géo mapping des adresses IP
Aller au-delà : approches basées sur l’heuristique

Module 9 : Sujets avancés 

Apprentissage profond pour le trafic crypté 
Classification du trafic crypté et empreintes digitales 
Modèles génératifs et auto-codeurs

Public

SOC. Analystes, Experts en sécurité et Experts en intelligence de menace.

Pré-requis

Comprendre les bases de routage et de switching du réseau, sousstanding  TLS et HTTPS et compréhension de base des algorithmes  de cryptage  et du chiffrement-suites.

Méthodes pédagogiques

Alternance d'apports théoriques, d'exercices pratiques et d'études de cas.


Réf. : DNDAFP21

Durée : 5 jours

Tarif : 2500 € HT



Demande de devis

Date souhaitée :
*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants