SECUSOC – Détection des incidents de sécurité 5 jours / 35 heures - Horaires : de 9h30 à 12h00 et de 13h30 à 17h30/18h00.
S'inscrire
Télécharger la fiche de cette formation

Bon à savoirsur cette formation

  • Objectifs
    • Former les analystes SOC à la détection et aux spécificités de la détection système, en abordant les aspects méthodologiques, théoriques et pratiques de la création d'alertes et de leur investigation, en s'appuyant principalement sur l'environnement Windows.Appliquer la notion de "prévention détective"
  • Pré-requis
    • Avoir de bonnes bases en cybersécurité ou avoir suivi la formation SECUCYBER
    • Connaissance d'un SIEM (ELK, Logpoint, Prelude, Qradar, Splunk, etc) ou avoir suivi une formation SPLUNK ou ELASTICSEARCH
    • Avoir un SOC dans son organisation
  • Méthode pédagogique
    • Cours magistral illustré par des travaux pratiques à chaque module
  • Public visé
    • Analystes SOC N2 et N3
  • Certification
    • A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM de savoir-faire, pas un simple test de connaissance, dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUSOC par HS2.
  • Matériel
    • Support de cours en français au format papier en présentiel et au format numérique en distanciel
    • Machine virtuelle contenant l'ensemble des exercices
    • Ordinateur portable mis à disposition des stagiaires qui ne disposerait pas du leur
    • Certificat attestant de la participation à la formation
  • Formateurs
    • Emeric Laroche
    • Olivier Caillault
    • Arthur Villeneuve
  • Évaluation qualité
  • Pour aller plus loin
Objectifs Pré-requis Méthode pédagogique Public visé Certification Matériel Formateurs Évaluation qualité Pour aller plus loin
  • Former les analystes SOC à la détection et aux spécificités de la détection système, en abordant les aspects méthodologiques, théoriques et pratiques de la création d'alertes et de leur investigation, en s'appuyant principalement sur l'environnement Windows.Appliquer la notion de "prévention détective"
  • Avoir de bonnes bases en cybersécurité ou avoir suivi la formation SECUCYBER
  • Connaissance d'un SIEM (ELK, Logpoint, Prelude, Qradar, Splunk, etc) ou avoir suivi une formation SPLUNK ou ELASTICSEARCH
  • Avoir un SOC dans son organisation
  • Cours magistral illustré par des travaux pratiques à chaque module
  • Analystes SOC N2 et N3
  • A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM de savoir-faire, pas un simple test de connaissance, dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUSOC par HS2.
  • Support de cours en français au format papier en présentiel et au format numérique en distanciel
  • Machine virtuelle contenant l'ensemble des exercices
  • Ordinateur portable mis à disposition des stagiaires qui ne disposerait pas du leur
  • Certificat attestant de la participation à la formation
Emeric Laroche
Olivier Caillault
Arthur Villeneuve

Programme du cours

Panorama de la détection système

  • Chaîne de détection et terminologie
  • Organisation des équipes
  • Sources de données
  • Quoi collecter ?
  • Normalisation et standardisation des données
  • Connaissance du SI supervisé et des pratiques d’administration
  • Cycle de vie des signatures
  • Tableaux de bord
  • Environnement, contexte de détection, interaction avec les autres acteurs de la sécurité opérationnelle

 

Méthodologies

  • Kill chain / Mitre attack
  • « Pyramide of pain » et détection de menace connue vs inconnue
  • Démarche de création et de hiérarchisation des nouvelles alertes
  • Compréhension des apports de l’apprentissage automatique (machine learning)
    • notions clés
    • comment travailler avec les experts en mégadonnées (data scientists)

 

Techniques de détection pour Windows

  • Détection grâce aux journaux d’authentification :
    • ActiveDirectory, Kerberos, NTLM, lsass, ntds, sam
    • moyens de détection des outils et techniques de vol d’authentifiant dont mimikatz
  • Techniques d’attaque et de détection Powershell
  • Pré-requis et création de règles Sysmon
  • Détection des techniques de latéralisation : RDP, SMB, PSRemoting, WMI
  • Détection de la persistance : création de services, tâches planifiées, clés de registres, dossiers startup
  • Repérage des traces générées par les outils communément utilisés par les attaquants : Cobalt Strike, Empire, Lolbins
  • Fonctionnement et détection des élévations de privilège : SID, Niveau d’intégrité, token
  • Détection en amont la reconnaissance faite par l’attaquant au sein du SI : adfind, bloodhoud, LOLBins

 

Techniques de détection de compromission d’autres environnements

  • Linux : auditd, wazuh, ossec
  • Réseau : scans, flux, beaconning, trafic HTTP/HTTPS sortant, trafic DNS
  • Infonuagique (Cloud) : API et services
  • OT (systèmes industriels, objets connectés)

 

Processus métier des analystes

  • Processus d’investigation d’une alerte
  • Processus de chasse (hunting)
  • SOAR (ochestration, automatisation et réponse aux incidents de sécurité)

 

Examen de certification

 

S'inscrire à la formation

    Je souhaite en savoir plus et connaître le tarif de la formation. Session souhaitée
    * HS2 traite les données recueillies par le présent formulaire pour traiter vos demandes d’inscription. ** Les champs avec des * sont obligatoires. Les autres informations nous permettent d’améliorer le traitement de votre demande et notre relation client.
    Pour en savoir plus et exercer vos droits, consultez notre Politique Vie privée.