SECUBLUE1 – Formation Détection et réponse aux incidents de sécurité

Prochaines Dates de la Formation

Pas encore de dates pour cette formation.

5 jours
35 heures - Du lundi au jeudi : de 9h30 à 12h et de 13h30 à 17h30/18h00 - Le vendredi : de 09h30 à 12h et de 13h30 à 17h00/17h30

Pour les experts des SOC et CSIRT (CERT), apprendre à détecter et répondre aux incidents de sécurité.

Les rapports de tous les grands acteurs de la réponse à incident sont unanimes : les compromissions, qu’elles soient l’oeuvre de simples Malwares ou de groupes organisés, sont légions, avec bien souvent un délai effarant de plusieurs mois entre l’arrivée de l’acteur malveillant et sa détection par les défenseurs. Dans ce contexte, la question n’est plus de savoir si cela peut nous arriver, mais bien QUAND cela va-t-il nous arriver ; L’enjeu n’est plus seulement de prévenir, mais d’aller traquer l’attaquant sur nos systèmes et réseaux afin de l’empêcher d’étendre son emprise et d’atteindre ses objectifs.

En mettant l’accent sur la compréhension des techniques d’attaque et la maîtrise des outils de détection, cette formation vous donnera les moyens de tirer le meilleur parti des mesures et équipements déjà en place pour répondre rapidement et efficacement aux incidents de sécurité.

Bon à savoir sur cette formation

Objectifs
- Mettre en place une architecture de détection
- Appliquer la notion de "prévention détective"
- Limiter l'impact d'une compromission
- Prioriser les mesures de surveillance à implémenter
- Maitriser le processus de réponse à incident
Pré-requis
- Formation SECUCYBER
- (OU) Solides bases en sécurité des systèmes d'information
Méthode pédagogique
- Cours magistral illustré par des travaux pratiques
Public visé
- Membres d'un SOC ou d'un CSIRT
- Administrateurs
- Responsables sécurité
Certification
- A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUBLUE par HS2.
Matériel
- Support de cours au format papier en français
- Ordinateur portable mis à disposition du stagiaire
- Certificat attestant de la participation à la formation
- Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration
Formateurs
- Cyrille De Pardieu
- Anthony Hubbard
- Vincent Nguyen
- Jérémy Richard
- Matthieu Schipman
Évaluation qualité
- Rapport_qualite_SECUBLUE__du_22_au_26_mai_2023
  
  Rapport qualite SECUBLUE du 19 au 23 septembre 2022
  
  Rapport_qualite_SECUBLUE_du_22_au_26_novembre 2021
  
  Rapport_qualite_SECUBLUE du 27 septembre au 1er octobre 2021
  
  Rapport_qualite_SECUBLUE du 14 au 18 juin 2021

Objectifs Pré-requis Méthode pédagogique Public visé Certification Matériel Formateurs Évaluation qualité

Mettre en place une architecture de détection
Appliquer la notion de "prévention détective"
Limiter l'impact d'une compromission
Prioriser les mesures de surveillance à implémenter
Maitriser le processus de réponse à incident

Formation SECUCYBER
(OU) Solides bases en sécurité des systèmes d'information

Cours magistral illustré par des travaux pratiques

Membres d'un SOC ou d'un CSIRT
Administrateurs
Responsables sécurité

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUBLUE par HS2.

Support de cours au format papier en français
Ordinateur portable mis à disposition du stagiaire
Certificat attestant de la participation à la formation
Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration

Cyrille De Pardieu

Anthony Hubbard

Vincent Nguyen

Jérémy Richard

Matthieu Schipman

Rapport_qualite_SECUBLUE__du_22_au_26_mai_2023

Rapport qualite SECUBLUE du 19 au 23 septembre 2022

Rapport_qualite_SECUBLUE_du_22_au_26_novembre 2021

Rapport_qualite_SECUBLUE du 27 septembre au 1er octobre 2021

Rapport_qualite_SECUBLUE du 14 au 18 juin 2021

Programme du cours

Module 1 : État des lieux

Pourquoi la détection
- Défense en profondeur
- Tous compromis
Évolution de la menace
Principes de défense
CTI et renseignement
- IOC, Yara, MISP

Module 2 : Comprendre l’attaque

Objectifs de l’attaquant
Phases d’une attaque
Plusieurs champs de bataille
- Réseau
- Applications
- Systèmes d’exploitation
- Active Directory
- Utilisateurs
Portrait d’une attaque réussie

Module 3 : Architecture de détection

Architecture sécurisée
Détections : les classiques
- IDS/IPS
- SIEM
- SandBox
- Capture réseau
- WAF
Valoriser les « endpoints »
- Whitelisting
- Sysmon
- Protections mémoire
- Mesures complémentaires de Windows 10
Les outsiders
- « Self-defense » applicative
- Honey-*
- Données DNS
Focus : Journalisation

Module 4 : Blue Team vs. attaquant

Gérer les priorités
Outils & techniques
- Wireshark / Tshark
- Bro / Zeek
- Recherche d’entropie
- Analyse longue traîne
Détection et kill chain

Module 5 : Réponse à incident et Hunting

SOC & CSIRT
Triage
Outils de réponse
- Linux
- Windows
- Kansa
- GRR
Partons à la chasse
- Principes de base
Attaquer pour mieux se défendre
Audit « Purple team »