Formation « Détection des incidents de sécurité »
SECUSOC Version 2024
Résumé
Tous les attaquants laissent des traces ! Le SOC est la brique indispensable pour les détecter et limiter les impacts d'une compromission. Détecter est impératif face au niveau de menace actuel et ce sont l'efficacité des analystes et l'intelligence des règles qui font la différence. Vous disposez d'un SOC, ce SOC dispose d'une vision unique sur le Si grâce aux sources d'information qu'il collecte, il est en première ligne pour détecter. De nouvelles techniques de recherche d'attaquant, dont la chasse aux menaces (hunting), doivent également être mis en place pour être proactif vis à vis des nouvelles techniques et outils d'attaque.
Contenu du cours
Panorama de la détection système
-
Chaîne de détection et terminologie
-
Organisation des équipes
-
Sources de données
-
Quoi collecter ?
-
Normalisation et standardisation des données
-
Connaissance du SI supervisé et des pratiques d'administration
-
Cycle de vie des signatures
-
Tableaux de bord
-
Environnement, contexte de détection, interaction avec les autres acteurs de la sécurité opérationnelle
Méthodologies
-
Kill chain / Mitre attack
-
"Pyramide of pain" et détection de menace connue vs inconnue
-
Démarche de création et de hiérarchisation des nouvelles alertes
-
Compréhension des apports de l'apprentissage automatique (machine learning)
-
notions clés
-
comment travailler avec les experts en mégadonnées (data scientists)
-
Techniques de détection pour Windows
-
Détection grâce aux journaux d'authentification :
-
ActiveDirectory, Kerberos, NTLM, lsass, ntds, sam
-
moyens de détection des outils et techniques de vol d'authentifiant dont mimikatz
-
-
Techniques d'attaque et de détection Powershell
-
Pré-requis et création de règles Sysmon
-
Détection des techniques de latéralisation : RDP, SMB, PSRemoting, WMI
-
Détection de la persistance : création de services, tâches planifiées, clés de registres, dossiers startup
-
Repérage des traces générées par les outils communément utilisés par les attaquants : Cobalt Strike, Empire, Lolbins
-
Fonctionnement et détection des élévations de privilège : SID, Niveau d'intégrité, token
-
Détection en amont la reconnaissance faite par l'attaquant au sein du SI : adfind, bloodhoud, LOLBins
Techniques de détection de compromission d'autres environnements
-
Linux : auditd, wazuh, ossec
-
Réseau : scans, flux, beaconning, trafic HTTP/HTTPS sortant, trafic DNS
-
Infonuagique (Cloud) : API et services
-
OT (systèmes industriels, objets connectés)
Processus métier des analystes
-
Processus d'investigation d'une alerte
-
Processus de chasse (hunting)
-
SOAR (ochestration, automatisation et réponse aux incidents de sécurité)
Certification
A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM de savoir-faire, pas un simple test de connaissance, dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUSOC.
Financements
- Plan de développement des compétences (OPCO)
- France Travail (ex Pôle Emploi)
- Fonds propres de l'entreprise ou de la personne
- CPF : non pris en charge
Handicap
Nos formations sont accessibles aux personnes en situation de handicap.
Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.
Pour en valider l'accès merci de nous contacter contact@formation-IT.org
Durée
5 jours soit 35 heures
Prix Public
3 780 € HT
Dates à Paris ou Distanciel
-
du 2 au 6 Décembre
Public concerné
Analystes SOC N2 et N3
Objectifs pédagogiques
Former les analystes SOC à la détection et aux spécificités de la détection système, en abordant les aspects méthodologiques, théoriques et pratiques de la création d'alertes et de leur investigation, en s'appuyant principalement sur l'environnement Windows. Appliquer la notion de "prévention détective"
Pré requis
-
Avoir de bonnes bases en cybersécurité ou avoir suivi la formation SECUCYBER
-
Connaissance d'un SIEM (ELK, Logpoint, Prelude, Qradar, Splunk, etc) ou avoir suivi une formation
SPLUNK ou ELASTICSEARCH -
Avoir un SOC dans son organisation
Méthode Pédagogique
Cours magistral illustré par des travaux pratiques à chaque module
Supports
-
Support de cours en français au format papier en présentiel et au format numérique en distanciel
-
Machine virtuelle contenant l'ensemble des exercices
-
Ordinateur portable mis à disposition du stagiaire
-
Certificat attestant de la participation à la formation
Profil formateur
Experts CyberSécurité
Délai d’accès
Se référer aux dates figurant au planning
Sanction de la formation
Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation
Évaluations et sanctions de la formation
-
Quizz intermédiaires
-
Lab technique en fin de module
-
Évaluation de satisfaction via un questionnaire pré formation, à chaud et à froid
-
Attestation de présence et de formation
📴 complet
📌 date confirmée
💻 distanciel