SECUSOC – Détection des incidents de sécurité
Prochaines Dates de la Formation
- Du 02/12/2024 au 06/12/2024
Horaires : de 9h30 à 12h00 et de 13h30 à 17h30/18h00.
Découvrez notre formation spécialisée visant à former des analystes en cybersécurité hautement qualifiés, prêts à défendre les réseaux d’entreprises au sein d’un SOC. Acquérez des méthodologies avancées d’analyse et de détection de comportements malveillants pour assurer une protection proactive face aux cybermenaces.
Devenez un analyste SOC qui détecte les menaces avant les autres.
Bon à savoir sur cette formation
-
Objectifs
- Former les analystes SOC à la détection et aux spécificités de la détection système, en abordant les aspects méthodologiques, théoriques et pratiques de la création d'alertes et de leur investigation, en s'appuyant principalement sur l'environnement Windows.Appliquer la notion de "prévention détective"
-
Pré-requis
- Avoir de bonnes bases en cybersécurité ou avoir suivi la formation SECUCYBER
- Connaissance d'un SIEM (ELK, Logpoint, Prelude, Qradar, Splunk, etc) ou avoir suivi une formation SPLUNK ou ELASTICSEARCH
- Avoir un SOC dans son organisation
-
Méthode pédagogique
- Cours magistral illustré par des travaux pratiques à chaque module
-
Public visé
- Analystes SOC N2 et N3
-
Certification
- A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM de savoir-faire, pas un simple test de connaissance, dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUSOC par HS2.
-
Matériel
- Support de cours en français au format papier en présentiel et au format numérique en distanciel
- Machine virtuelle contenant l'ensemble des exercices
- Ordinateur portable mis à disposition des stagiaires qui ne disposerait pas du leur
- Certificat attestant de la participation à la formation
-
Formateurs
- Emeric Laroche
- Olivier Caillault
- Arthur Villeneuve
- Évaluation qualité
-
Pour aller plus loin
Objectifs
Pré-requis
Méthode pédagogique
Public visé
Certification
Matériel
Formateurs
Évaluation qualité
Pour aller plus loin
- Former les analystes SOC à la détection et aux spécificités de la détection système, en abordant les aspects méthodologiques, théoriques et pratiques de la création d'alertes et de leur investigation, en s'appuyant principalement sur l'environnement Windows.Appliquer la notion de "prévention détective"
- Avoir de bonnes bases en cybersécurité ou avoir suivi la formation SECUCYBER
- Connaissance d'un SIEM (ELK, Logpoint, Prelude, Qradar, Splunk, etc) ou avoir suivi une formation SPLUNK ou ELASTICSEARCH
- Avoir un SOC dans son organisation
- Cours magistral illustré par des travaux pratiques à chaque module
- Analystes SOC N2 et N3
- A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM de savoir-faire, pas un simple test de connaissance, dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUSOC par HS2.
- Support de cours en français au format papier en présentiel et au format numérique en distanciel
- Machine virtuelle contenant l'ensemble des exercices
- Ordinateur portable mis à disposition des stagiaires qui ne disposerait pas du leur
- Certificat attestant de la participation à la formation
Emeric Laroche
Olivier Caillault
Arthur Villeneuve
Programme du cours
Panorama de la détection système
- Chaîne de détection et terminologie
- Organisation des équipes
- Sources de données
- Quoi collecter ?
- Normalisation et standardisation des données
- Connaissance du SI supervisé et des pratiques d’administration
- Cycle de vie des signatures
- Tableaux de bord
- Environnement, contexte de détection, interaction avec les autres acteurs de la sécurité opérationnelle
Méthodologies
- Kill chain / Mitre attack
- « Pyramide of pain » et détection de menace connue vs inconnue
- Démarche de création et de hiérarchisation des nouvelles alertes
- Compréhension des apports de l’apprentissage automatique (machine learning)
- notions clés
- comment travailler avec les experts en mégadonnées (data scientists)
Techniques de détection pour Windows
- Détection grâce aux journaux d’authentification :
- ActiveDirectory, Kerberos, NTLM, lsass, ntds, sam
- moyens de détection des outils et techniques de vol d’authentifiant dont mimikatz
- Techniques d’attaque et de détection Powershell
- Pré-requis et création de règles Sysmon
- Détection des techniques de latéralisation : RDP, SMB, PSRemoting, WMI
- Détection de la persistance : création de services, tâches planifiées, clés de registres, dossiers startup
- Repérage des traces générées par les outils communément utilisés par les attaquants : Cobalt Strike, Empire, Lolbins
- Fonctionnement et détection des élévations de privilège : SID, Niveau d’intégrité, token
- Détection en amont la reconnaissance faite par l’attaquant au sein du SI : adfind, bloodhoud, LOLBins
Techniques de détection de compromission d’autres environnements
- Linux : auditd, wazuh, ossec
- Réseau : scans, flux, beaconning, trafic HTTP/HTTPS sortant, trafic DNS
- Infonuagique (Cloud) : API et services
- OT (systèmes industriels, objets connectés)
Processus métier des analystes
- Processus d’investigation d’une alerte
- Processus de chasse (hunting)
- SOAR (ochestration, automatisation et réponse aux incidents de sécurité)
Examen de certification
