SPLUNK – Formation SPLUNK

Prochaines Dates de la Formation

Pas encore de dates pour cette formation.

4 jours / 28 heures
Horaires : de 9h30 à 12h00 et de 13h30 à 17h30/18h00

Splunk permet à de très nombreuses équipes opérationnelles, SOC, CSIRT de réaliser efficacement leurs investigations numériques, détection d’attaques ou chasse, en facilitant les opérations de recherche & manipulation des journaux quelques soient le volume de données.

Cette formation vous permettra d’apprendre à utiliser Splunk pour les cas d’usage de la sécurité informatique, elle complète bien les formations SECUBLUE et SECUSOC en vous fournissant les clés pour exploiter au mieux cet outil puissant.

Cette formation n’est pas une présentation exhaustive des capacités de Splunk, elle a été construite pour pouvoir être efficace et pertinente dans l’utilisation de Splunk.

Bon à savoir sur cette formation

Objectifs
- Découvrir le fonctionnement et les capacités de Splunk
- Apprendre le langage SPL pour requêter les données efficacement
- Enrichir les données opérationnelles à partir de sources externes
- Créer des tableaux de bord dynamiques pour l'aide à la décision et la synthèse d'informations
- Créer des requêtes matures pour la détection d'attaque
Pré-requis
- Connaissances informatiques générales (qu'est-ce qu'une adresse IP, une authentification, etc.)
- Compréhension des enjeux généraux en sécurité informatique (qu'est-ce qu'une attaque par bruteforce, une exfiltration de données, etc.)
Méthode pédagogique
- Cours magistral
- Démonstrations et travaux pratiques
- Exercices de mise en œuvre
- La formation est délivrée à travers un mélange de cours magistral et démonstrations sur le produit. Les apprenants ont tous accès à un Splunk pendant toute la durée de la formation leur permettant de reproduire les exemples fournis en cours. Des travaux pratiques de mise en œuvre sont fournis aux apprenants sur les concepts clés. Les travaux pratiques possèdent tous un énoncé et une solution détaillée, permettant aux apprenants de valider leurs exercices. Les formateurs supervisent la réalisation des travaux pratiques et accompagnent les apprenants ayant besoin d'aide. Pour les apprenants venant en salle de formation, le déjeuner est offert et est un moment privilégié de partage entre apprenants et formateurs.
Public visé
- Analystes en détection (SOC)
- Analyste en conception (SOC, CSIRT)
- Analystes forensique (CSIRT)
- Auditeurs
- Opérationnels en sécurité
- Responsables sécurité opérationnelle
Certification
- A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h00 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification Splunk par HS2.
Matériel
- Support de cours au format papier en français
- Ordinateur portable mis à disposition du stagiaire
- Cahier d'exercices et corrections des exercices
- Certificat attestant de la participation à la formation
Formateurs
- Olivier Caillault
- Igor Herrmann
Évaluation qualité
- Rapport qualite SPLUNK du 17 au 19 Octobre 2022
  
  Rapport_qualite_splunk_du_6_au_8_decembre_2021
Pour aller plus loin
- La formation SPLUNK vous permet d’appliquer dans Splunk les méthodes d’exploration et d’investigation présentées dans les formations :

Objectifs Pré-requis Méthode pédagogique Public visé Certification Matériel Formateurs Évaluation qualité Pour aller plus loin

Découvrir le fonctionnement et les capacités de Splunk
Apprendre le langage SPL pour requêter les données efficacement
Enrichir les données opérationnelles à partir de sources externes
Créer des tableaux de bord dynamiques pour l'aide à la décision et la synthèse d'informations
Créer des requêtes matures pour la détection d'attaque

Connaissances informatiques générales (qu'est-ce qu'une adresse IP, une authentification, etc.)
Compréhension des enjeux généraux en sécurité informatique (qu'est-ce qu'une attaque par bruteforce, une exfiltration de données, etc.)

Cours magistral
Démonstrations et travaux pratiques
Exercices de mise en œuvre
La formation est délivrée à travers un mélange de cours magistral et démonstrations sur le produit. Les apprenants ont tous accès à un Splunk pendant toute la durée de la formation leur permettant de reproduire les exemples fournis en cours. Des travaux pratiques de mise en œuvre sont fournis aux apprenants sur les concepts clés. Les travaux pratiques possèdent tous un énoncé et une solution détaillée, permettant aux apprenants de valider leurs exercices. Les formateurs supervisent la réalisation des travaux pratiques et accompagnent les apprenants ayant besoin d'aide. Pour les apprenants venant en salle de formation, le déjeuner est offert et est un moment privilégié de partage entre apprenants et formateurs.

Analystes en détection (SOC)
Analyste en conception (SOC, CSIRT)
Analystes forensique (CSIRT)
Auditeurs
Opérationnels en sécurité
Responsables sécurité opérationnelle

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h00 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification Splunk par HS2.

Support de cours au format papier en français
Ordinateur portable mis à disposition du stagiaire
Cahier d'exercices et corrections des exercices
Certificat attestant de la participation à la formation

Olivier Caillault

Igor Herrmann

Rapport qualite SPLUNK du 17 au 19 Octobre 2022

Rapport_qualite_splunk_du_6_au_8_decembre_2021

La formation SPLUNK vous permet d’appliquer dans Splunk les méthodes d’exploration et d’investigation présentées dans les formations :

Programme du cours

Introduction à Splunk

Produits de la marque Splunk
Fonctions de Splunk Enterprise
Architecture
Flux de données

Ajouter des données

Processus d’indexation
Téléversement à travers l’interface graphique
Organisation de la donnée dans les indexes
Envoi à travers un Universal Forwarder
Envoi à travers un collecteur syslog
Supervision de modifications dans des fichiers
Envoi par API
Extraction de champs
Normalisation des champs

Requêter

Accès aux données indexées
Filtre temporel
Paramètres des tâches de recherche
Exploration des résultats
Modes de recherche
Différences entre les événements et les statistiques
Commandes
- Search
- Fieldsummary
- Where
- fields
- rename
- rex
- eval
  - Fonctions d’évaluation
- dedup
- sort
- head
- tail
- fillnull
- table
Calculs statistiques
- Commande stats
- Fonctions d’agrégations
- Agrégats multiples
- Combinaison des fonctions d’agrégation et des fonctions d’évaluation

Manipulation des JSON
Enrichissement de données
- Types de lookups
- Manipulation des lookups
- Recoupement des données
- Utilisation des lookups pour faire une chasse de marqueurs
Jointures
Macros de recherche
Sous-recherches

Configurer

Différents modèles de données
Fichiers de configuration
Précédence des configurations
Périmètres et gestion des droits
Objets de connaissance
Partage d’objets
Installation

Fichiers de configuration

Utilisation des tableaux de bord Studio
Forces et limitations du moteur
Sélecteurs et filtres
Commande timechart
Requêtes chaînées
Utilisation des tokens
Interactivité des tableaux de bord

Requêtes avancées

Commandes bin et transaction
Requêtes pour l’investigation numérique
Requêtes pour la détection
Détection par seuil
Création d’alertes pour un SOC

Conclusion

Ressources pertinentes pour l’apprentissage continu

SPLUNK – Formation SPLUNK

Prochaines Dates de la Formation

Bon à savoir sur cette formation

Programme du cours

S'inscrire à la formation