FORENSIC & INVESTIGATION NUMERIQUE

L’analyse Forensic et l’investigation numérique permet de comprendre comment identifier ,collecter , manipuler, transporter, stocker et sécurisé la data de votre organisation .Pour cela DNDA Formation vousproposons un ensemble de modules permettant de vous former au techniques d’investigation Web, Apps, réseau mais aussi de vous perfectionner sur l’analyse de Malwares .

Toutes ces formations sont disponible en présentiel ou en distanciel

Autres thématiques disponible dans notre catalogue Cybersecurité 

RED TEAMCONFORMITE ISO 27000PENTEST– GOUVERNANCE

Analyse de Malwares – Les fondamentaux

Cette formation Forensic est orientée vers la pratique des tests d’intrusion 40 % du temps consacré à la pratique. Lors de cette formation, vous allez acquérir des connaissances généralistes sur le fonctionnement des malwares et maitriser des méthodologies d’analyse statique et dynamique.

Jour 1 matin

Section 1 – Etat de l’art
Introduction
Historique
Vecteurs d’infection
Compromission
Impacts business
Défenses classiques

Jour 1 après-midi

Section 2 – Bases système
Séquence de boot
Dissection d’un processus
Dissection d’un exécutable
Gestion de la mémoire
Techniques communes
Obfuscation, packers, encoders (évasion)

Section 2 – Environnement
Infrastructure
Bonnes pratiques et création d’un lab

Jour 2 matin

Section 3 – Outils d’analyse
Présentation des outils d’analyse
TD1 / Découverte de la suite Sysinternals (Procmon, Procexp)
Analyse statique
Analyse dynamique
Introduction à la suite FLARE Mandiant
TD 2 / Analyse d’un PDF
TD 3 / Analyse Meterpreter / Unicorn / Macros
Sandbox
VirusTotal
Cuckoo
AnyRun
TD 4 / Analyse d’une charge dans une SandBox

Jour 2 après-midi

TP 1 /  Etude de cas – Analyse d’une attaque et rédaction d’un rapport
Signatures
YARA
Création de règles
Implémentation YARA
Plateformes d’échanges
TD 5 / Signer des malwares

Jour 3 Matin

Section 4 – Analyse de dumps mémoire
Acquisition
Volatility
Processus
DLLs
Ruches
Injections
Connections
TP 2 /  Analyse de dumps mémoire

Jour 3 Après-midi

Section 5 – Introduction à l’assembleur (ia-32)
Introduction
Registres
Flags
Instructions
La pile
TD 6 /  Premiers programmes
Hello World (Write)
Boucles
Execve (/bin/sh)

Jour 4 matin 

Section 6 – Shellcoding
Introduction à GDB
Commandes utiles
Shellcode méthode stack
Shellcode méthode Jmp-Call-Pop
Les encoders
Les stagers
       
Jour 4 après-midi

TP 3 /  Création d’un encodeur XOR

Jour 5 

Où trouver des shellcodes
Encoder des shellcodes existants (Metasploit)
TP 5 /  Reverse d’une charge

Réf. : DNDAESD06
Durée : 5 jours
Tarif : 2500,00 

Analyse Inforensique avancée niv 2

Introduction à l’inforensique réseau
  • Incident de sécurité
    • Présentation
    • Quels sont les étapes d’une intrusion ?
    • Quels impacts de celles-ci ?
    • Indices de compromission (IOC)
  • Introduction au threat intel (Misp, Yeti, etc.)
    • Quels sont les outils / ressource à disposition ?
    • Création d’IOC
    • Hunting & Triage (à distance ou en local)
    • GRR, Kansa, OS Query,
  • Comment analyser et automatiser l’analyse du résultat de notre Hunting ?
    • NSRLDB
    • Packing/Entropie/, etc…
Analyse forensic post-mortem réseau
  • Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feu, Syslog)
  • Analyse de capture réseau (PCAP)
  • Analyse statistique des flux (Netflow)
  • Canaux de communications avec les serveurs de Command and Control
  • Détection des canaux de communications cachées (ICMP, DNS)
  • Détection des techniques de reconnaissances
  • Création de signatures réseaux
Mémoire volatile
  • Introduction aux principales structures mémoires
  • Analyse des processus
    • Processus « cachés »
    • Traces d’injection de code et techniques utilisées
    • Process-Hollowing
  • Shell code – détection et analyse du fonctionnement
  • Handles
  • Communications réseaux
  • Kernel : SSDT, IDT, Memory Pool
  • Utilisation de Windbg
  • Création de mini-dump
  • Travaux pratique
    • Analyse « live » d’un système
FileSystem (NTFS only)
  • Introduction au FS NTFS et aux différents artefacts disponibles
  • Présentation de la timerules sous Windows/Linux/OSX
  • Timeline filesystemTim
  • Testomping + toutes les opérations pouvant entravers une timeline « only fs« 
Trace d’exécution et mouvement latéraux
  • Trace de persistances
  • Autostart (Linux/Windows/OSX)
  • Services
    • Tâches planifiées
    • WMI
  • Travaux Pratique investigation forensic 
    • Active Directory – Détecter une compromission
    • Comment générer une timeline des objets AD ?
    • Recherche de « backdoor » dans un AD (bta, autres outils, …)
    • Présentation des principaux EventID et relations avec les outils d’attaques (golden ticket, etc.)
Super-Timeline
  • Présentation
  • Cas d’utilisations
    • Timesketch 
Evaluation
  • Via QCM et apport des correctifs

Autre formation complementaires 
Réf. : DNDA FORENSIC 2
Durée : 5 Jours
Tarif : 3600,00 

Analyse Inforensique Windows

L’analyse inforensique est l’investigation et la qualification poussée des cyberattaques. Elle permet de comprendre les sources de l’attaque afin de vous aider à sortir de cette crise et vous prémunir d’un nouvel épisode d’incident similaire.

  • Pour exemple l’analyse post-mortem, est la collecte de toutes les données potentiellement liées à l’attaque (journaux d’évènement systèmes, journaux d’évènements d’applications, etc)

Contenu de programme  :

Introduction à l ‘analyse Inforensique
  • Présentation de l’inforensique
  • Périmètre de l’investigation
  • Trousse à outil
  • Methodologie « First Responder »
  • Analyse Post-mortem
    • Disques durs
    • Introduction aux systèmes de fichiers, Horodatages des fichiers
    • Acquisition des données : Persistante et volatile
    • Gestion des supports chiffrés
    • Recherche de données supprimées
    • Sauvegardes et Volume Shadow Copies
    • Aléas du stockage flash
    • Registres Windows
  • Les structures de registres Windows
    • Utilisateurs, Systèmes
    • Analyse des journaux
    • Évènements / antivirus / autres logiciels
Scénario d’investigation
  • Téléchargement/Accès à des contenus confidentiels
  • Exécution de programmes
  • Traces de manipulation de fichiers et de dossiers
    • Fichiers supprimés et espace non alloué
    • Carving, Géolocalisation, Photographies (données Exifs)
    • Points d’accès WiFi
    • HTML5
    • Exfiltration d’informations
    • Périphérique USB, Courriels, Journaux SMTP
    • Acquisition coté serveur
    • Analyse client messagerie
    • Utilisateurs abusés par des logiciels malveillant
Interaction sur Internet
  • Utilisation des Navigateurs Internet
  • IE/Edge / Firefox
  • Office 365
  • SharePoint
  • Traces sur les AD Windows
  • Présentation des principaux artefacts
  • Bases de l’analyse de la RAM
    • Conversion des hyberfiles.sys, Bases Volatility/Rekall
    • Extraction des clés de chiffrement
Inforensique Linux
  • Les bases de l’inforensique sur un poste de travail Linux »
  • Les bases de l’inforensique sur un serveur Linux
    • Journaux serveurs Web & Corrélations avec le système de gestion de fichiers
    • Création et analyse d’une frise chronologique du système de fichier
Travaux pratique et vue d’ensemble
  • Création et analyse d’une frise chronologique enrichie d’artefacts
  • Exemple d’outil d’interrogation de gros volume de données
Evaluation
  • Via QCM
  • Examen de certification en option
Autres formations complémentaires

Réf. : DNDAFORENSIC1
Durée : 5 Jours
Tarif : 3900,00 

Deploiement d’un soc (Security Opération Center)

Le SOC est un dispositif de surveillance et de monitoring permanent de votre SI .Le Soc permet de maintenir un haut niveau de sécurité, Le SOC ne fait pas d’analyse de risque, n’organise pas la gestion de crise et ne conçoit pas de plan de continuité d’activité,

Section 1 – Introduction à la cybersécurité
  1. Histoire de la cybersécurité
  2. Présentation du programme Creeper
  3. Présentation du projet Rabbit
  4. La cybersécurité aujourd’hui et ses risque
  5. La dangerosité des données numériques
  6. Quels sont les responsables ? quelles motivations ont-ils?
  7. Classification des risques selon le gouvernement français
Section 2 – Définition et approche stratégique
  1. Terminologie du monde SOC
  2. Définition et environnement
  3. Les objectifs et missions
  4. Les services actifs au sein du SOC
  5. Les processus du SOC
  6. Les composantes au sein du SOC
  7. Les rôles et tâches au sein des équipes
  8. La génération et le traitement des données
  9. La structuration SOC selon le CLUSIF
Section 3 – Le déploiement d’un SOC
  1. La définition du projet de déploiement
  2. L’approche constructive entreprise
  3. La délimitation des besoins
  4. La phase de “Build”
  5. La phase de “Run”
  6. Premier bilan et retour d’expériences
  7. La poursuite du déploiement
Section 4 – La technologie SIEM
  1. Qu’est-ce qu’un SIEM
  2. Les objectifs d’un SIEM
  3. Comprendre le SIEM on sein d’un SOC
  4. Le fonctionnement d’un SIEM
Section 5 – Le LAB 
  1. o   Présentation du lab de formation
  2. o   Explications des outils intégrés au LAB
  3. o   Préparation du LAB
Section 6 – Mise en place de Windows Server
  1. o   Installation de Windows server R2
  2. o   Configuration du serveur
  3. o   Activation et configuration du domaine
  4. o   Activation et configuration du service Active Directory

Partie 2

Section 7 – Le Firewall

  1. Généralités sur les Firewall
  2. Fonctionnement d’un Firewall
  3. Les types de filtrages
  4. Les types de Firewall
  5. Présentation de PfSense
Section 8 – Mise en place du Firewall TP
  1. TP 1 Installation de Pfsense
  2. TD / Configuration des interfaces réseau
  3. TD / Accès à Pfsense (par Wan et Lan)
  4. Rappel sur le protocole DHCP
  5. TP 2 / Configuration du DHCP
  6. Présentation du portail d’authentification
  7. TP 3 / Portail Captif (proxy)
  8. Présentation du protocole SNMP
  9. Les différents modules SNMP avec Pfsense
  10. TP 4 / Configuration SNMP, Eyes of Network
  11. TD / Mise à jour, Backup et restauration
  12. TP 5 / Les packages (installation de Suricata)
Section 9 – Présentation des types de détections systèmes
  1. Définition de l’Intrusion détection system
  2. Définition d’un Network IDS
  3. Définition d’un Wireless IDS
  4. Définition d’un hybride IDS
Section 10 – Mettre en place son IDS Suricata
  1. Présentation de Suricata
  2. TP 6 /- Installation et dépendances
  3. TD / Les commandes de bases
  4. Les différents modes d’exécution
  5. TD / Configuration via suricata.yml
  6. Approche théorique : les formats de règles Suricata
  7. Les options de règles
  8. TD / La gestion des règles sur Suricata
  9. TD / Donner du sens aux alertes
Section 11 – Présentation de ELK
  1. Présentation de la suite ELK
  2. Découverte de Elasticsearch
  3. Découverte de logstash
  4. Découverte de Kibana
Section 12 – ElasticSearch
  1. Approche théorique : Terminologie
  2. TD / Présentation de la solution Cloud
  3. TP 7 / Installation de ElasticSearch
  4. TD / Configuration du fichier. Yml
  5. Application Full REST et utilisation
Section 13 – Logstash
  1. Approche théorique : fonctionnement de logstash
  2. TD / Installation de logstash
Section 14 – Kibana
  1. Installation et configuration
  2. TP 8 / Installation de Kibana
  3. TD / Configuration de Kibana
  4. Utilisation de l’interface Discover
  5. Visualize et les différentes visualisations
  6. Création d’alertes
  7. Exporter en PDF les données dashboard
  8. Optimisation de la sécurité de Kibana

Section 15 – Détection d’intrusion et remontée d’alertes sur l’active directory

  1. Présentation du scénario et de l’objectif
  2. Approche théorique sur l’agent WinlogBeat
  3. TD / Mise en place de WinlogBeat
  4. TD / Configurer le Dashboard sur Kibana
  5. TP 9 / Détecter une intrusion administrateur dans l’active directory
Section 16 – TP final
  1. TP 10 / Détecter une intrusion Pfsense et remonter l’alerte dans le dashboard.
  2. Préparation à l’examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)
Evaluation 
  1. Via QCM et apport des correctifs
Autres formations complementaires 

 

Réf. : DNDAFIN04
Durée : 4 jours
Tarif : 3600,00 

Durcissement des infrastructures Windows

Section 1 – Introduction sur l’écosystème actuel

  1. L’évolution des systèmes d’information et leurs ouvertures sur le monde
  2. Les menaces courantes pesant sur les systèmes d’information
  3. Les menaces récentes
  4. Chronologie et évolutions majeures des systèmes d’exploitation Windows
    • TP 1 / Questionnaire sur les fonctionnalités Windows et les risques SI
  5. Compréhension de la défense par rapport à un scénario d’attaque
  6. Segmentation des phases d’un attaquant
  7. Étudier les outils et méthodes d’attaque par phases avec la Cyber Kill-Chain (ATT&CK)
  8. Les attaques courantes dans un domaine Windows
    • TP 2 / Mener une étude Cyber Kill-Chain

Section 2 – Une défense alignée aux attaques

  1. Compréhension de la défense par rapport à un scénario d’attaque
  2. Segmentation des phases d’un attaquant
  3. Étudier les outils et méthodes d’attaque par phases avec la Cyber Kill-Chain (ATT&CK)
  4. Les attaques courantes dans un domaine Windows
  5. TP 2 / Mener une étude Cyber Kill-Chain

Section 3 – Durcissement des domaines Windows

  1. Stratégies de contrôle d’applications (AppLocker)
    • TP 3 / Implémentation de AppLocker via les stratégies de groupe
  2. Cohérence et défauts de conception de la structure Active Directory (ACL)
  3. Recommandations de sécurité pour Active Directory (Bonnes pratiques)
    • TD / Comment LAPS réduit les chances de réussite de mouvements latéraux
    • TP 4 / Implémentation de LAPS pour les clients d’un domaine Windows
    • TD / Implémentation d’un contrôle d’accès Radius
    • Sécurité des réseaux Wi-Fi
    • TD / Implémentation d’un contrôle d’accès Wi-Fi basé sur Radius
  4. Sécurisation de l’administration du domaine (WinRM, RPC, WMI, RDP)
  5. Sécurité des services et comptes de services managés (MSA)
  6. Classification et marquage de l’information pour les systèmes de prévention de pertes de données (DLP)
  7. Audit et centralisation des journaux d’événements Windows
  8. Présentation d’une solution d’analyse de menaces avancées (ATA)
  9. Sécurité des environnements Azure (Identity Protection, RMS, Bonnes pratiques)

Partie 3

  1. Utilisation d’une infrastructure de clés publiques (PKI) pour la création de stratégies de sécurité réseau (NPS, Radius)
  2. TD / Implémentation d’un contrôle d’accès Radius
  3. Sécurité des réseaux Wi-Fi
  4. TD / Implémentation d’un contrôle d’accès Wi-Fi basé sur Radius
  5. Sécurisation de l’administration du domaine (WinRM, RPC, WMI, RDP)
  6. Sécurité des services et comptes de services managés (MSA)
  7. Classification et marquage de l’information pour les systèmes de prévention de pertes de données (DLP)
  8. Audit et centralisation des journaux d’événements Windows
  9. Présentation d’une solution d’analyse de menaces avancées (ATA)
  10. Sécurité des environnements Azure (Identity Protection, RMS, Bonnes pratiques)

Section 4 – Durcissement des serveurs et postes clients

  1. Sécurisation du démarrage (Secure Boot – UEFI)
  2. Chiffrement des disques durs (Bitlocker, TPM, Agent de récupération)
  3. Pare-feu Windows (configuration, règles)
  4. Contrôler l’élévation de privilèges (UAC)
  5. TD / Élévation de privilèges avec et sans UAC
  6. Sécurisation des contenus web (Smartscreen)
  7. Windows Defender
  8. Fonctionnalités antivirales (Device Guard, Credential Guard, AMSI)
  9. Augmentation de la maîtrise de Powershell (Scripts signés, Just Enough Administration, Journalisation)

Section 5 – Durcissement des protocoles

  1. Les bases de l’authentification Microsoft (Authentification de Domaine, NTLM, Processus de « Défi-Réponse », NTLMv2, Kerberos)
  2. Analyse des protocoles actifs sur le domaine (Netstat, Wireshark)
  3. Étude des protocoles et services faillibles
  4. TP 6 / Renforcement d’infrastructure et simulation d’intrusion
  5. Étude des protocoles et services faillibles
  6. TP 6 / Renforcement d’infrastructure et simulation d’intrusion

Section 6 – Mécanismes de Défense avancée

  1. Les éditeurs de sécurité (Cyberark, Hexatrust)
  2. Défenses spécifiques à l’attaque Kerberoasting
  3. Mesures de détection pour l’attaque DCShadow
  4. TP 7 / Génération d’un rapport de sécurité Active Directory (Ping Castle) – Implémentation d’une base de données relationnelle (Bloodhound)
  5. Préparation à l’examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)

Evaluation et fin de session 

  1. Récapitulatif des différents items traités lors de la formation.
  2. Validation des acquis via QCM

Autres formations  disponibles en  Analyse  Forensic 

Réf. : DNDA DIW
Durée : 4 jours
Tarif : 3000,00 

Essentiels techniques cybersécurité

Préalable 

Bien que la cybersécurité, ou sécurité des systèmes d’information (SSI), soit aujourd’hui une nécessité absolue,elle apparait pour beaucoup comme un domaine obscur réservé aux spécialistes et il est important que chaque acteur soit capable de comprendre et d’appliquer, chacun à son niveau, les bonnes pratiques de sécurité.

Objectif 

A l’issu de la formation le stagaire aura :

  • Acquérir les bases de la cybersécurité
  • Comprendre le fonctionnement des attaques et des mesures de défense grâce à des démonstrations. 

Contenu de programme :

sécurité: les concepts fondamentaux

  • Concepts de bases
  • Gestion du risque : vulnérabilité, menace, impacts métiers
  • Dans la peau d’un attaquant
  • Principes de base : connaître son SI, moindre privilège, défense en profondeur, prévention et détection

Cryptographie

  • Chiffrement
  • Hachage
  • Signature
  • TLS
  • PKI/IGC

Sécurité des réseaux

  • Principes de base
  • Attaques
  • Contrôle d’accès
  • Filtrage et relayage
  • Architecture sécurisée
  • WiFi

Sécurité des systèmes

  • Minimisation et durcissement
  • Sauvegarde
  • Veille sécurité
  • Mise à jour
  • Sécurisation active
  • Virtualisation

Sécurité des applications

  • Vulnérabilités : le TOP 10 de l’OWASP
  • Attaques et défenses
  • Stockage des mots de passe
  • Processus de développement

Fin de session et evaluation des acquis

  • QCM

Réf. : DNDAESSCYBER
Durée : 2 Jours
Tarif : 1380,00 

Fondamentaux techniques de la cybersécurité

Module 1 : SSI – principes de bases

  • Pourquoi la SSI ?
  • Notion de risque
  • Les règles de base
  • Contrôle d’accès
  • AAA
  • Gestion des utilisateurs
  • Authentification
  • Gestion des privilèges

 Module 2 : Cryptographie

  • Concepts fondamentaux
  • Fonctions de base
  • Chiffrement
  • Hachage
  • Signature
  • Protocoles
  • TLS
  • IPSec
  • SSH
  • PKI / IGC

 Module 3 : Réseau

  • Modèles théoriques : OSI, TCP/IP
  • Attaques classiques
  • Découverte de ports
  • Man-in-the-Middle
  • Contrôle d’accès réseau
  • Segmentation
  • Qu’est qu’une bonne architecture ?
  • Comment segmenter son réseau
  • VLAN
  • Parefeu
  • Proxy
  • Réseaux sans fil
  • Sécuriser le Cloud

 Module 4 : Applications

  • Architecture n-tiers
  • Protocoles
  • Authentification et sessions
  • Top 10 de l’OWASP
  • Buffer Overflow
  • Processus de développement

Module 5 : Windows

  • Installation
  • Bitlocker
  • Mesures Windows 10 :
  • Device Guard
  • Application Guard
  • Exploit Guard
  • Gestion des administrateurs
  • Éviter le Pass-The-Hash

 Module 6 : Linux

  • Système de fichiers
  • Minimisation
  • Comptes utilisateurs
  • Authentification
  • SELinux
  • AppArmor
  • SSH
  • Netfilter
  • Journalisation

 Module 7 : Gestion d’incidents

  • La base : sauvegarde et journalisation
  • Veille sécurité
  • SOC et CSIRT
  • Gestion d’incidents
  • Analyse inforensique

 

Réf. : DNDASECUCYBER
Durée : 5 Jours
Tarif : 3600,00 

Formation DNSSEC

Objectifs de la Formation DNSSEC:

– Acquérir la connaissance technique du protocole DNS et de l’extension DNSSEC
– Configurer une installation d’un résolveur (Unbound) validant les réponses avec DNSSEC
– Construire une infrastructure DNSSEC comprenant OpenDNSSEC pour gérer les clés et BIND pour servir les zones signées
– Éviter les pièges du DNS
– Déterminer l’intérêt réel d’un déploiement éventuel de DNSSEC dans leur environnement

Programme de la Formation DNSSEC:

DNS : spécifications et principes
– Vocabulaire
– Arbres, zones…
– Resolver, cache, authoritative, fowarder…
– Organisation
– TLD, autres domaines, délégations…
– Protocole
– RRSet, entêtes, couche de transport et EDNS
– Problèmes liés aux pare-feux Enregistrements (RR)
– A, AAAA, PTR, SOA, NS, MX … Fonctionnement interne
– Récursion et itération, fonctionnement de la résolution, … Logiciels
– Couches logicielles
– « stub resolver », résolveur, rôle de l’application …
– Alternatives à BIND
– Outils sur le DNS
– Zonemaster, dig, delv…

Sécurité du DNS
– Risques : modification non autorisée des données, piratage des serveurs, attaque via le routage ou autre « IP spoofing », empoisonnement de cache … Ce qu’a apporté l’attaque Kaminsky.

Cryptographie
– Petit rappel cryptographie asymétrique, longueur des clés, sécurité de la clé privée …

DNSSEC
– Clés : l’enregistrement DNSKEY. Méta-données des clés. Algorithmes et longueurs des clés.
– Signature des enregistrements : l’enregistrement RRSIG. Méta-données des signatures.
– Délégation sécurisée : l’enregistrement DS
– Preuve de non-existence : les enregistrements NSEC et NSEC3

DNSSEC en pratique
– Objectifs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC.
– Protocole
– bit DO et couche de transport (EDNS)
– Problèmes liés aux pare-feux Créer une zone signée à la main
– « dnssec-keygen, -signzone, named-checkzone/conf
– Configurer le résolveur Unbound pour valider
-Vérifier avec dig et delv
– Déboguage
– Délégation d’une zone. Tests avec dnsviz
– Renouvellement de clés Créer une zone signée avec DNSSEC

Retour d’expérience
– Zone racine
– Domaines de premier niveau (.fr, .se, .org, …)
– Zones ordinaires signées
– Stockage des clés. Les HSM.
– Problèmes opérationnels (re-signature, supervision)

Conclusion

Réf. : DNDADNSSEC
Durée : 2 Jours
Tarif : 1380,00 

Formation Elasticsearch,administration et exploitation

Objectifs de la Formation ELASTICSEARCH:

– Comprendre le fonctionnement de Elastic Stack
– Savoir installer et configurer un cluster Elastic Stack
– Être capable d’indexer des volumes importants de données
– Être capable de visualiser des données et créer des tableaux de bord
– Maîtriser l’administration et l’exploitation de la solution

Programme de la Formation ELASTICSEARCH:

Chapitre 1 – Présentation d’Elasticsearch
– Fonctionnalités et potentiels d’ElasticSearch
– Ecosystème
– Les alternatives à ElasticSearch
– Comprendre Lucene, son coeur
– Les apports spécifiques d’Elasticsearch.

Chapitre 2 – Installation et configuration
– Installation en local
– Installation sur un serveur
– Déploiement sur plusieurs serveurs en mode cluster

Chapitre 3 – Requêtes de recherche
– Principe d’une API REST, et les principaux points d’entrée
– Index, mapping et templates
– Rechercher des données
– Fonctionnalités avancées de recherches

Chapitre 4 – L’analyse
– La base de l’analyse : l’agrégation
– Les agrégations metric et bucket
– L’analyse avancées

Chapitre 5 – Surveiller Elasticsearch
– Les métriques
– Les slowlogs
– Sauvegardes et restaurations
– La fonction Monitoring des Stack Features
– Les API pour les admins

Chapitre 6 – Collecte d’information depuis des beats
– Rappels sur Elastic Stack
– Rappels sur l’installation d’un noeud standalone
– Mise en place de collecte avec Filebeat
– Mise en place de collecte avec Packetbeat
– Mise en place de collecte avec Metricbeat

Chapitre 7 – Exploration de données depuis Kibana
– Concepts de base
– Découverte de données
– Le Lucene Query DSL
– Extraction et partage de données

Chapitre 8 – Création de visualisations et dashboards
– Les différents types de visualisations
– Création de visualisations et dashboards
– Dashboards interactifs
– Création de rapports

Chapitre 9 – Visualisations des séries de données
– Introduction à timelion
– Utilisation de timelion
– Le visual builder

Chapitre 10 – Management de Kibana
– Personnalisation
– Les objets sauvegardés
– Import/export de configuration

Chapitre 11 – Configuration du cluster
– Configuration du cluster Elasticsearch
– Préparation du cluster Elasticsearch pour le traitement des gros volumes
– Configuration des noeuds
– Gestion des modèles

Chapitre 12 – Collecte et indexation de données avec Logstash
– Les possibilités offertes par Logstash
– Le monitoring par les Beats
– Activation de la géolocalisation IP dans Logstash
– Activation du monitoring de performance

Chapitre 13 – Administration du cluster
– Surveillance du cluster
– Sécurisation du cluster
– L’allocation des noeuds
– Alias d’index. Greffons Elasticsearch

Examen de certification

Réf. : DNDAELASTICSEARCH
Durée : 5 Jours
Tarif : 3600,00 

Formation PKI Windows

Cryptographie et PKI

Rappel sur les principes cryptographiques fondamentaux
Rappel des algorithmes cryptographiques et taille de clé conseillés
Architecture organisationnelle et technique d’une IGC (PKI)
Principe de création, vérification et révocation de certificat
Création d’une autorité racine indépendante

PKI Windows

Rappel de l’environnement Windows
Spécificité de l’IGC (PKI) Windows
Création d’une autorité fille liée à l’AD
Rappel des bases Powershell
Création de scripts simples en Powershell

PKI avancée
Cas d’étude d’une architecture IGC
Création de scripts Powershell avancés
Méthodologie de résolution de problème (debugging)
Etude de cas : les stagiaires doivent résoudre 6 problèmes utilisateurs dont la difficulté va de moyen à expert
     

 

Réf. : DNDASECUPKIWIN
Durée : 3 Jours
Tarif : 2220,00 

Formation Principes et mise en œuvre des PKI

Objectifs de la Formation Principes et mise en œuvre des PKI:

    Apprendre les technologies et les normes (initiation à la cryptographie)
    Apprendre les différentes architectures
    Apprendre les problématiques d’intégration (organisation d’une PKI, formats de certificats, points d’achoppement)
    Apprendre les aspects organisationnels et certifications
    Apprendre les aspects juridiques (signature électronique, clés de recouvrement, utilisation, export / usage international)

Programme de la Formation Principes et mise en œuvre des PKI:

Jour 1 : Mise en contexte
    Bases de cryptographie
    Notions de dimensionnement et vocabulaire de base
    Mécanismes
    Combinaisons de mécanismes
    Problèmes de gestion de clés
    Sources de recommandation : ANSSI, ENISA, EuroCrypt, NIST
    Implémentation de la cryptographie
    Bibliothèques logicielles
    Formats courants
    Usages courants et gestion associée
    Chiffrement de fichiers et de disques
     Chiffrement de messagerie
    Authentification
    Chiffrement des flux
    Grands axes d’attaques et défenses
    Exercices OpenSSL d’utilisation des primitives cryptographiques
    Cadre général : Historique

Jour 2 : PKI et organisation
     Matériel cryptographique
    Différents types d’implémentation matérielle
    Certification Critères Communs
    Certification FIPS 140-2
    Structure de PKI
    Certificats X509
    Rôles : sujet, vérificateur, certificateur, enregistrement, révocation
    Architectures organisationnelles courantes
    Cinématiques dans PKIX
    Hiérarchies d’autorités
    Vérification récursive d’une signature1
    Cadre légal et réglementaire
    Droit de la cryptologie
    Droit de la signature électronique
    Référentiel général de sécurité
    Certification d’autorité
    ETSI TS-102-042 et TS-101-456, certification RGS
    Exigences pour les inclusions dans les navigateurs et logiciels courants
    Évolution des pratiques
    Exercice : Opération d’une infrastructure de gestion de clés avec Gnomint jusqu’à authentification TLS réciproque

Jour 3 : Implémentation de PKI et perspectives
      Suite des exercices de gestion d’IGC et ajout d’une génération de certificat sur token USB
    Mise en œuvre de PKI
    Différents types d’implémentation d’IGC rencontrées couramment
    Types d’acteurs du marché
    Recommandations pour l’intégration
    Attaques sur les PKI
    Problème des PKI SSL/TLS
    Remédiations mise en œuvre pour TLS
    Infrastructures de gestion de clés non X509
    GPG
    SSH
    R/PKI
     Prospective
    Évolution de la cryptographie et modes journalistiques
    Distribution de clés par canal quantique (QKD)
     Cryptographie homomorphique
     Cryptographie-post quantique
     Gestion des clés symétriques
     Chaines de blocs (blockchain)
     Tendances et conclusion

Réf. : DNDASECUPKI
Durée : 3 Jours
Tarif : 2220,00 

Formation Rétroingénierie de logiciels malfaisants

Objectifs de la Formation Rétroingénierie de logiciels malfaisants:

– Qualifier la menace d’un logiciel malfaisant
– Savoir mettre en place d’un laboratoire d’analyse des logiciels malfaisants et préparer l’outillage d’analyse
– Analyser de manière statique et dynamique le comportement de logiciels malfaisants
– Apprendre l’architecture x86
– Savoir identifier les structures logiques (boucles, branchement…)
– Savoir identifier des motifs utilisés par les logiciels malfaisants en analysant le code
– Analyser la mémoire
– Savoir contourner les techniques d’autoprotection

Programme de la Formation Rétroingénierie de logiciels malfaisants:

Section 1 : Introduction aux bases de l’analyse de logiciels malveillants
    Processus et méthodologie générique
    Analyse statique :
      Analyse des métadonnées
      Analyse statique
    Analyse dynamique
      Comportemental
      Débugger
    Construire son laboratoire d’analyse
      Simuler internet
      Utilisation de la virtualisation
         Contournement des mécanismes de protection anti-VM
         Simulation d’architecture « exotique » (IOT)
         Construction du laboratoire et boite à outils
     Sandbox
Cas d’analyse
    Introduction au langage assembleur
      Guide de survie des instructions de bases
      Instruction modifiant le flux d’exécution
      Présentation des registres
    Conventions d’appels
      Spécificités des langages objets
    IDA Pro:
      Introduction
      Prise en main de l’outil (création de scripts)
    Chaine de compilation et binaires
      Fuite d’informations possibles
      Imports d’information dans IDA

Section 2 : Système d’exploitation
    Introduction aux systèmes d’exploitation
      Processus vs thread
      Scheduler
      Syscall
      Différence processus vs thread
    Format d’exécutable
      Format PE
         Présentation des informations
    Structures internes
      SEH
      TEB
      PEB
      SSDT
    Introduction au « kernel debugging »

Section 3 : Mécanismes de protection (DRM ou packer)
    Introduction aux outils de DRM/Protection de code
      Comment les identifier ?
        Quels sont les impacts ?
    Introductions aux différentes techniques de protection :
       Anti-désassemblage
       Anti-debogage
       Obscurcissement du CFG
       Machine virtuelle
      Évasion (détection de sandbox/Virtualisation)
    Analyse de packer
       Présentation de la méthode générique d’unpacking
       Découverte de l’OEP
       Reconstruction de la table d’imports
         Miasm2 :
             Unpacking automatique

Section 4 : Malwares
    Catégoriser les logiciels malveillants en fonction de leurs API
    Keyloggers
    Rootkits (userland et kerneland)
    Sniffers
    Ransomwares
    Bots et C2
    Injection de code
         Technique de contournement de flux d’exécution (ie: detour)
    Shellcode
         Techniques et outils d’analyses
         Miasm2
         Unicorn Engine

Section 5 : Autres types de malwares
    Malware « Web » (JavaScript/VBScript)
         Analyse statique et dynamique
        Limitation des navigateurs
    Malwares Flash
    Applications mobiles Android
    Documents malveillants
            Suite Office
            PDF
            RTF
    Malwares .Net

Section 6 : Threat Intelligence
    Création de signatures Yara
    Communication et base de connaissances
         MISP
         Yeti

Section 7 : Avantage de l’analyse mémoire

Réf. : DNDAREVERSE1
Durée : 5 Jours
Tarif : 3600,00 

Formation Sécurisation des infrastructures Windows

1 : Durcissement système et réseau

  •  Système
    • Nécessité du durcissement
    • Minimisation
    • Gestion des services
    • Journalisation
    • Réseau
    • Utilité des protocoles obsolètes
    • Cloisonnement réseau
    • Parefeu et IPsec
    • Protocoles d’authentification
    •  Autres points d’attention
    • Desired State Configuration
    • Focus : sécuriser votre cloud Microsoft
2 : Administration sécurisée
  • Qu’est-ce qu’un administrateur
    •     Administration sécurisée : pourquoi ?
    •     TTP : Techniques, Tactiques et Procédures
    •      Compromettre un Active Directory
    •     Compromission initiale
    •     Mouvement latéral : Pass-the-hash…
    •     Élévation de privilèges
    •     Vulnérabilités classiques
    •     Bonnes pratiques
    •     Utilisateurs et groupes locaux
    •     Délégation
    •     Powershell et le JEA
    •     Active Directory et les GPO
    •     Administration sécurisée
    •     Forêt « bastion »     Administration en strates
    •     Silos d’authentification
    •     Environnement d’administration
    •     Focus : Golden Ticket et krbtgt

3 : Sécurité du poste de travail

  • Windows 10 et le VBS
    •     Secure Boot
    •     Device Guard
    •     Application Guard
    •     Exploit Guard
    •     Credential Guard
    •     Bitlocker
    •     Chiffrement de disque
    •     Autres fonctionnalités
    •     Isolation réseau
    •     Mise à jour
4 : Auditer son infrastructure
  •     Différents types d’audits
    •     Points à auditer
    •     SCM
    •     Pingcastle
    •     Recherche de chemins d’attaque
    •     BloodHound et AD-Control-Path
    •     Les extracteurs
    •     Graphes d’attaques
    •     Simulation et remédiation

Evaluation et fin de session

  • Validation des acquis via QCM et mise en simulation
  • Examen
Autres formations  disponibles en  Analyse  Forensic 
Réf. : DNDA SECUWIN
Durée : 5 Jours
Tarif : 3600,00 

Formation Sécurité des Architectures

Objectifs de la Formation Sécurité des Architectures:

– Connaître les problématiques liées à l’architecture des réseaux complexes

– Connaître les solutions associées
– Savoir auditer une architecture
– Développer un plan d’évolution sécurisée d’une architecture

Programme de la Formation Sécurité des Architectures:

Introduction générale

– Logistique
– Tour de table
– Objectifs de la formation
– Non-objectifs de la formation
– Signalétique

Introduction de la formation
– Principes d’architecture
      Exposition / connectivité / attractivité
– Vocabulaire
      Segmentation
      Vulnérabilité
      Risque
– Lien avec d’autres domaines
      Sécurité logicielle
      Appréciation des risques
      Architecture des systèmes d’information

Rappels
– Modèle OSI
– Domaine de collision, domaine de diffusion
– LAN, VLAN, PVLAN

Composants de base : pour faire quoi, pour ne pas faire quoi et points d’attention
– Commutateur
– Répartiteur
– Routeur
– Pare-feu
– Diode
– WDM
– Sondes
– IPS / IDS
– WAF

Architectures de base : risques, points d’attention et solutions
– Applications, 2-tiers / 3-tiers
      Partages de contenu
– Administration
      Administration de l’administration
– Active Directory
– Composants d’infrastructure et de sécurité
      Filtrage et détection (Pare-feu, IDS, WAF)
      DNS
      NTP
      Relais et relais inverses
      Authentification
      Supervision
      Journalisation
      Anti-virus
      Mise à jour
      Déploiement
      Bastion

Architectures spécifiques
– Architectures industrielles & SCADA
– IoT
– Grid
– Architectures distribuées
– Cloud

Réf. : DNDA SECUARCH
Durée : 3 Jours
Tarif : 2220,00 

Formation Sécurité du cloud computing

Objectifs de la Formation Sécurité du cloud computing:

– Exposer, analyser et hiérarchiser les risques liés au cloud computing
– Proposer des solutions et des bonnes pratiques
– Permettre une maîtrise des clauses contractuelles d’un contrat de cloud

Programme de la Formation Sécurité du cloud computing:

Rappels sur le cloud

Rappel sur la cybersécurité
Risque et gestion des risques
Menaces et vulnérabilités
Disponibilité
Confidentialité
Gestion des incidents

Risques avec le cloud
Enfermement
Perte de gouvernance
Gestion du projet
Plan d’Assurance Sécurité
Suivi de la sécurité

Contractualiser les exigences de sécurité
Sources du droit
Généralités sur les contrats
Preuve

Contenu du contrat de cloud
Comité de suivi sécurité
Envoi des données
Obligations du client
Prérogatives du prestataire
Données personnelles et les nouvelles obligations issues du RGPD
Obligations générales de sécurité
Confidentialité
Convention de service attendu
Développements applicatifs
Audits de sécurité
Réversibilité
Résiliation
Effacement des données
Responsabilité contractuelle

Cloud et charte informatique
La notification d’une violation de données personnelles en vertu du RGPD comment en pratique concilier l’enquête interne avec les délais imposés et la notification d’un incident à l’ANSSI

Comptes à privilèges

Panorama des normes et référentiels
ISO27001/ISO27002
SOC1/SOC2
ISO27017
ISO27018
ISO27552

Réf. : DNDASECUCLOUD
Durée : 2 Jours
Tarif : 1380,00 

Gestion de crise IT/SSI

Objectifs de la Formation Gestion de crise IT/SSSI:

Apprendre à mettre en place une organisation adaptée pour répondre efficacement aux situations de crise
Apprendre à élaborer une communication cohérente en période de crise
Apprendre à éviter les pièges induits par les situations de crise
Tester votre gestion de crise SSI

Programme de la Formation Gestion de crise IT/SSI:

Enjeux et Objectifs de la gestion de crise
– Vocabulaire
– Qu’est-ce que la gestion de crise SSI ?

Rappel des fondamentaux sur la gestion des incidents de sécurité basée sur l’ISO 27035

Analogies avec les autres processus
– Gestion des incidents de sécurité
– Continuité d’activité
– Gestion de crise stratégique

Analyse Forensique
– Organisation de gestion de crise
– SSI Acteurs et instances de la crise
– Rôles et responsabilités
– Préparation de la logistique
– Documentation & Canevas
– Outils de communication
 

Processus de gestion de crise SSI
– Détection et Alerte
– Évaluation et Décision
– Activation Réagir Pilotage de la crise Retour à la normale
– Tirer les enseignements

Facteur humain et effets du stress
Tests et exercices de crise SSI
– Enjeux et objectifs
– Types d’exercices et tests
– Scénarios de crise
– Préparation d’un exercice de crise SSI
– Outils et moyens

Cas pratiques de gestion de crise SSI

Réf. : DNDASECUCRISE
Durée : 1 jour
Tarif : 690,00 

Nous contacter

Nouvelles formations

Dernières actualités

Services de cybersécurité

Nous suivre