Détection et réponse aux incidents de sécurité

SECUBLUE

Résumé

Les rapports de tous les grands acteurs de la réponse à incident sont unanimes : les compromissions, qu'elles soient l'oeuvre de simples Malware ou de groupes organisés, sont légions, avec bien souvent un délai effarant de plusieurs mois entre l'arrivée de l'acteur malveillant et sa détection par les défenseurs.
Dans ce contexte, la question n'est plus de savoir si cela peut nous arriver, mais bien QUAND cela va-t-il nous arriver. L'enjeu n'est plus seulement de prévenir, mais d'aller traquer l'attaquant sur nos systèmes et réseaux afin de l'empêcher d'étendre son emprise et d'atteindre ses objectifs.
En mettant l'accent sur la compréhension des techniques d'attaque et la maîtrise des outils de détection, cette formation vous donnera les moyens de tirer le meilleur parti des mesures et équipements déjà en place pour répondre rapidement et efficacement aux incidents de sécurité.

Contenu du cours

Module 1 : État des lieux

  • Pourquoi la détection

    • Défense en profondeur

    • Tous compromis

  • Évolution de l'environnement

  • La "prévention détective"

 

Module 2 : Comprendre l'attaque

  • Objectifs de l'attaquant

  • Phases d'une attaque

  • Plusieurs champs de bataille

    • Réseau

    • Applications

    • Active Directory

    • La dimension métier

  • Portrait d'une attaque réussie

 

Module 3 : Architecture de détection

  • La base : segmentation et moindre privilège

  • Les classiques

    • Parefeu

    • IDS/IPS

    • WAF

    • SIEM

  • Les outsiders

    • "Self-defense" applicative

    • Honey-*

  • Valoriser les "endpoints"

    • Whitelisting

    • Sysmon

    • Protections mémoire

    • Mesures complémentaires de Windows 10

  • Focus : Journalisation

  • Les IOC

Yara
MISP

 

Module 4 : Blue Team vs. attaquant

  • Gérer les priorités

  • Détection et kill chain

    • Persistance

    • Post-exploitation

    • Exploitation

    • Reconnaissance

  • Focus: détecter et défendre dans le Cloud

 

Module 5 : Réponse à incident et Hunting

  • Le SOC

  • Outils de réponse

    • Linux

    • Windows

    • Kansa

  • Partons à la chasse

    • Principes de base

  • Attaquer pour mieux se défendre

    • Audit "Purple team"

    • Focus: Bloodhound

  • ISO 27035

  • Aspects juridiques

Certification

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUBLUE.​

Durée 

5 jours soit 35 heures

Prix Public 

3.600 € HT

 

Dates à Paris

  • 22 - 26 juin 2020

  • 28 sept - 2 oct 2020

Public concerné

  • Membres d'un SOC ou d'un CSIRT

  • Administrateurs

  • Analystes

  • Responsables sécurité

Objectifs pédagogiques

  • Mettre en place une architecture de détection

  • Appliquer la notion de "prévention détective"

  • Limiter l'impact d'une compromission

  • Prioriser les mesures de surveillance à implémenter

  • Maîtriser le processus de réponse à incident

Pré requis 

  • Formation SECUCYBER

  • (ou) Solides bases en sécurité des systèmes d'information

Méthode Pédagogique

Cours magistral avec travaux pratiques et échanges interactifs

Supports 

  • Support de cours au format papier en français

  • Cahier d'exercices et corrections des exercices

  • Ordinateur portable mis à disposition du stagiaire

  • Certificat attestant de la participation à la formation

Modalité d'évaluation de la formation

Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration

Sur le même thème

SARL DIG-IT

Simplifiez vous l'IT

 

Tél : +33 (0)6 09 52 48 96

Mail : sandra@formation-IT.org

Centre de Formation enregistré

sous la DA n° 93.06.07876.06

SIRET 822 060 372 00015 - APE 7022Z 

  • Twitter Classic
  • LinkedIn Social Icon
  • Facebook Social Icon