Analyse inforensique Avancée

FORENSIC2

Résumé

Les raisons ne manquent pas de vouloir effectuer une analyse inforensique :

  • Collaborateur indélicat ayant volé des documents interne de valeur

  • Intrusion d'un poste suite à une erreur d'un utilisateur

  • Compromission d'un serveur

 

Quelle que soit la raison, FORENSIC 1 vous apprendra à analyser les différents artefacts inforensiques et finalement créer une frise chronologique de l'incident.

Contenu du cours

Section 1 : Introduction à l'inforensique réseau
 

  • Incident de sécurité

    • Présentation

  • Quels sont les étapes d'une intrusion ?

  • Quels impacts de celles-ci ?

  • Indices de compromission (IOC)

    • Introduction au threat intel (Misp, Yeti, etc.)

    • Quels sont les outils / ressource à disposition ?

    • Création d'IOC

  • Hunting & Triage (à distance ou en local)

    • GRR

    • Kansa

    • OS Query

    • Comment analyser et automatiser l'analyse du résultat de notre hunting ?

  • NSRLDB

  • Packing/Entropie/, etc…

Section 2 : Analyse post-mortem réseau
 

  • Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feux, Syslog)

  • Analyse de capture réseau (PCAP)

  • Analyse statistique des flux (Netflow)

  • Canaux de communications avec les serveurs de Command and Control

  • Détection des canaux de communications cachées (ICMP, DNS)

  • Détection des techniques de reconnaissances

  • Création de signatures réseaux

Section 3 : Mémoire volatile
 

  • Introduction aux principales structures mémoires

  • Analyse des processus

    • Processus "cachés"

    • Traces d'injection de code et techniques utilisées

    • Process-Hollowing

  • Shellcode - détection et analyse du fonctionnement

  • Handles

  • Communications réseaux

  • Kernel : SSDT, IDT, Memory Pool

  • Utilisation de Windbg

    • Création de mini-dump

    • Analyse "live" d'un système

 

Section 4 : FileSystem (NTFS only)

 

  • Introduction au FS NTFS et aux différents artefacts disponibles

  • Présentation de la timerules sous Windows/Linux/OSX

  • Timeline filesystem

    • Timestomping + toutes les opérations pouvant entraver une timeline "only fs"

Section 5 : Trace d'exécution et mouvement latéraux

 

  • Trace de persistances

    • Autostart (Linux/Windows/OSX)

    • Services

    • Tâches planifiées

    • WMI

  • Active Directory - Détecter une compromission

    • Comment générer une timeline des objets AD ?

    • Recherche de "backdoor" dans un AD (bta, autres outils, ...)

    • Présentation des principaux EventID et relations avec les outils d'attaques (golden ticket, etc.)

 

Section 6 : Super-Timeline

 

  • Présentation

    • Cas d'utilisations

  • Timesketch

Section 7 : Quizz de fin de formation

Certification

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification FORENSIC2.

Durée 

5 jours soit 35 heures

Prix Public 

3.600 € HT

 

Dates à Paris

  • 23 - 27 novembre 2020

Public concerné

  • Investigateurs numériques souhaitant progresser

  • Analystes des SOC et CSIRT (CERT)

  • Administrateurs système, réseau et sécurité

  • Experts de justice en informatique

Objectifs pédagogiques

  • Appréhender la corrélation des événements

  • Retro-concevoir des protocoles de communications

  • Analyser des systèmes de fichiers corrompus

  • Connaître et analyser la mémoire volatile des systèmes d'exploitation

Pré requis 

  • Avoir une bonne expérience opérationnelle en informatique

  • Avoir une expérience en analyse post-mortem sous Windows et maîtriser le processus
    d'investigation sur un poste Windows

  • Ou avoir réussi la certification INFORENSIC1 ou la certification INFO1 ou la certification CEH CHFI ou une des certifications GIAC GCFA ou GCFE

Méthode Pédagogique

Cours magistral illustré par des travaux pratiques réguliers

Supports 

  • Support de cours au format papier en français

  • Ordinateur portable mis à disposition du stagiaire

  • Cahier d'exercices et corrections des exercices

  • Clé USB 64Go avec les données utilisées en travaux pratiques

  • Certificat attestant de la participation à la formation

Modalité d'évaluation de la formation
Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration

Sur le même thème

SARL DIG-IT

Simplifiez vous l'IT

 

Tél : +33 (0)6 09 52 48 96

Mail : sandra@formation-IT.org

Centre de Formation enregistré

sous la DA n° 93.06.07876.06

SIRET 822 060 372 00015 - APE 7022Z 

  • Twitter Classic
  • LinkedIn Social Icon
  • Facebook Social Icon