Formation SECUBLUE1
Surveillance, détection et réponse aux incidents de sécurité
Version 2024
Résumé
Les rapports de tous les grands acteurs de la réponse à incident sont unanimes : les compromissions, qu'elles soient l'oeuvre de simples Malware ou de groupes organisés, sont légions, avec bien souvent un délai effarant de plusieurs mois entre l'arrivée de l'acteur malveillant et sa détection par les défenseurs.
Dans ce contexte, la question n'est plus de savoir si cela peut nous arriver, mais bien QUAND cela va-t-il nous arriver. L'enjeu n'est plus seulement de prévenir, mais d'aller traquer l'attaquant sur nos systèmes et réseaux afin de l'empêcher d'étendre son emprise et d'atteindre ses objectifs.
En mettant l'accent sur la compréhension des techniques d'attaque et la maîtrise des outils de détection, cette formation vous donnera les moyens de tirer le meilleur parti des mesures et équipements déjà en place pour répondre rapidement et efficacement aux incidents de sécurité.
Contenu du cours
Module 1 : État des lieux
-
Pourquoi la détection
-
Défense en profondeur
-
Tous compromis
-
-
Évolution de la menace
-
Principes de défense
-
CTI et renseignement
-
IOC, Yara, MISP
-
Module 2 : Comprendre l'attaque
-
Objectifs de l'attaquant
-
Phases d'une attaque
-
Plusieurs champs de bataille
-
Réseau
-
Applications
-
Systèmes d’exploitation
-
Active Directory
-
Utilisateurs et Cloud
-
-
Portrait d'une attaque réussie
Module 3 : Architecture de détection
-
Architecture sécurisée
-
Détection : les classiques
-
IDS/IPS
-
SIEM
-
SandBox
-
Capture réseau
-
WAF
-
-
Valoriser les "endpoints"
-
Whitelisting
-
Sysmon
-
Protections mémoire
-
Mesures complémentaires de Windows 10
-
-
Les outsiders
-
"Self-defense" applicative
-
Honey-*
-
Données DNS
-
-
Focus : Journalisation
Module 4 : Blue Team vs. attaquant
-
Gérer les priorités
-
Outils & techniques
-
Wireshark / Tshark
-
Bro / Zeek
-
Recherche d'entropie
-
Analyse longue traîne
-
-
Détection et kill chain
-
Focus: Détecter Bloodhound
-
Exploitation
-
C&C
-
Mouvements latéraux
-
Focus : Attaques utilisant Powershell
-
Elévation de privilèges o Persistance
-
-
Focus: détecter et défendre dans le Cloud
Module 5 : Réponse à incident et Hunting
-
Le SOC & CSIRT
-
Triage
-
Outils de réponse
-
Linux
-
Windows
-
Kansa
-
GRR
-
-
Partons à la chasse
-
Principes de base
-
-
Attaquer pour mieux se défendre
-
Audit "Purple team"
-
Evaluation des acquis
A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUBLUE.
Évaluations et sanctions de la formation
-
Quizz intermédiaires
-
Lab technique en fin de module
-
Évaluation de satisfaction via un questionnaire pré formation, à chaud et à froid
-
Attestation de présence et de formation
Financements
- Plan de développement des compétences (OPCO)
- France Travail (ex Pôle Emploi)
- Fonds propres de l'entreprise ou de la personne
- CPF : non pris en charge
Handicap
Nos formations sont accessibles aux personnes en situation de handicap.
Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.
Pour en valider l'accès merci de nous contacter contact@formation-IT.org
Durée
5 jours soit 35 heures
Prix Public
3.780 € HT
Dates à Paris ou Distanciel
-
18 au 22 Novembre
Public concerné
-
Membres d'un SOC ou d'un CSIRT
-
Administrateurs
-
Analystes
-
Responsables sécurité
Objectifs pédagogiques
-
Mettre en place une architecture de détection
-
Appliquer la notion de "prévention détective"
-
Limiter l'impact d'une compromission
-
Prioriser les mesures de surveillance à implémenter
-
Maîtriser le processus de réponse à incident
Pré requis
-
Formation SECUCYBER
-
(ou) Solides bases en sécurité des systèmes d'information
Méthode Pédagogique
Cours magistral avec travaux pratiques et échanges interactifs
Supports
-
Support de cours au format papier en français
-
Cahier d'exercices et corrections des exercices
-
Ordinateur portable mis à disposition du stagiaire
-
Certificat attestant de la participation à la formation
Modalité d'évaluation de la formation
Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration
Délai d’accès
Se référer aux dates figurant au planning
Sanction de la formation
Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation
✘ complet
📌 date confirmée
💻 distanciel