« Détection des incidents de sécurité »

SECUSOC Version 2021
FORENSIC1.jpg

Tous les attaquants laissent des traces ! Le SOC est la brique indispensable pour les détecter et limiter les impacts d'une compromission. Détecter est impératif face au niveau de menace actuel et ce sont l'efficacité des analystes et l'intelligence des règles qui font la différence. Vous disposez d'un SOC, ce SOC  dispose d'une vision unique sur le Si grâce aux sources d'information qu'il collecte, il est en première ligne pour détecter. De nouvelles techniques de recherche d'attaquant, dont la chasse aux menaces (hunting), doivent également être mis en place pour être proactif vis à vis des nouvelles techniques et outils d'attaque.

Contenu du cours

Panorama de la détection système 

  • Chaîne de détection et terminologie 

  • Organisation des équipes 

  • Sources de données 

  • Quoi collecter ? 

  • Normalisation et standardisation des  données 

  • Connaissance du SI supervisé et des  pratiques d'administration 

  • Cycle de vie des signatures 

  • Tableaux de bord 

  • Environnement, contexte de détection, interaction avec les autres acteurs de la sécurité opérationnelle 

 

Méthodologies 

  • Kill chain / Mitre attack 

  • "Pyramide of pain" et détection de  menace connue vs inconnue 

  • Démarche de création et de hiérarchisation des nouvelles alertes 

  • Compréhension des apports de l'apprentissage automatique (machine learning) 

    • notions clés 

    • comment travailler avec les experts en mégadonnées (data scientists) 

 

Techniques de détection pour Windows 

  • Détection grâce aux journaux d'authentification : 

    • ActiveDirectory, Kerberos, NTLM, lsass, ntds, sam 

    • moyens de détection des outils et techniques de vol d'authentifiant dont mimikatz 

  • Techniques d'attaque et de détection Powershell 

  • Pré-requis et création de règles Sysmon 

  • Détection des techniques de latéralisation : RDP, SMB, PSRemoting, WMI 

  • Détection de la persistance : création de services, tâches planifiées, clés de  registres, dossiers startup 

  • Repérage des traces générées par les outils communément utilisés par les attaquants : Cobalt Strike, Empire, Lolbins 

  • Fonctionnement et détection des élévations de privilège : SID, Niveau  d'intégrité, token 

  • Détection en amont la reconnaissance faite par l'attaquant au sein du SI : adfind, bloodhoud, LOLBins 

 

Techniques de détection de compromission d'autres environnements 

  • Linux : auditd, wazuh, ossec 

  • Réseau : scans, flux, beaconning, trafic HTTP/HTTPS sortant, trafic DNS 

  • Infonuagique (Cloud) : API et services 

  • OT (systèmes industriels, objets connectés) 


Processus métier des analystes 

  • Processus d'investigation d'une alerte 

  • Processus de chasse (hunting) 

  • SOAR (ochestration, automatisation et réponse aux incidents de sécurité) 

 

Examen de certification 

Certification

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM de savoir-faire, pas un simple test de connaissance, dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUSOC.

*Formation distanciel possible :

de votre entreprise

de chez vous

de nos locaux à Sophia Antipolis (équipement Cisco Webex Board)

Nos formations sont accessibles aux personnes en situation de handicap.

Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.

Pour en valider l'accès merci de nous contacter contact@formation-IT.org

Durée 

5 jours soit 35 heures

Prix Public 

3.600 € HT (examen de certification inclus)

 

Dates

à Paris (distanciel* possible sur mesure. Nous contacter)​ 

  • 21 au 25 mars 2022

  • 12 au 16 décembre 2022

Public concerné

Analystes SOC N2 et N3 

Objectifs pédagogiques

Former les analystes SOC à la détection et aux spécificités de la détection système, en abordant les aspects méthodologiques, théoriques et pratiques de la création d'alertes et de leur investigation,  en s'appuyant principalement sur l'environnement Windows. Appliquer la notion de "prévention détective"

Pré requis 

  • Avoir de bonnes bases en cybersécurité ou avoir suivi la formation SECUCYBER 

  • Connaissance d'un SIEM (ELK, Logpoint, Prelude, Qradar, Splunk, etc) ou avoir suivi une formation 
    SPLUNK ou ELASTICSEARCH 

  • Avoir un SOC dans son organisation

Méthode Pédagogique

 Cours magistral illustré par des travaux pratiques à chaque module

Supports 

  •  Support de cours en français au format papier en présentiel et au format numérique en distanciel 

  • Machine virtuelle contenant l'ensemble des exercices

  • Ordinateur portable mis à disposition du stagiaire

  • Certificat attestant de la participation à la formation

Profil formateur 

 Instructeur certifié SECUSOC

Délai d’accès 

Se référer aux dates figurant au planning

Sanction de la formation 

Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation 

Évaluations et sanctions de la formation

  • Quizz intermédiaires 

  • Lab technique en fin de module

  • Évaluation de satisfaction via un questionnaire pré formation, à chaud et à froid

  • Attestation de présence et de formation