Surveillance, détection et réponse aux incidents de sécurité (SECUBLUE)

Les rapports de tous les grands acteurs de la réponse à incident sont unanimes : les compromissions, qu'elles soient l'œuvre de simples malwares ou de groupes organisés, sont légions, avec bien souvent un délai effarant de plusieurs mois entre l'arrivée de l'acteur malveillant et sa détection par les défenseurs. Dans ce contexte, la question n'est plus de savoir si cela peut nous arriver, mais bien QUAND cela va-t-il nous arriver ; L'enjeu n'est plus seulement de prévenir, mais d'aller traquer l'attaquant sur nos systèmes et réseaux afin de l'empêcher d'étendre son emprise et d'atteindre ses objectifs.
En mettant l'accent sur la compréhension des techniques d'attaque et la maitrise des outils de détection, cette formation vous donnera les moyens de tirer le meilleur parti des mesures et équipements déjà en place pour répondre rapidement et efficacement aux incidents de sécurité.
 
Objectifs
  • Mettre en place une architecture de détection
  • Appliquer la notion de "prévention détective"
  • Limiter l'impact d'une compromission
  • Prioriser les mesures de surveillance à implémenter
  • Maitriser le processus de réponse à incident
 
Durée & horaires
  • 5 jours soit 35 heures
  • Du lundi au jeudi : de 9h30 à 12h et de 13h30 à 17h30/18h00.
  • Le vendredi : de 09h30 à 12h et de 13h30 à 17h00/17h30.
 
Nombre de participant
  • Minimum 8 participants – Maximum 24 participants
 
Public visé
  • Membres d'un SOC ou d'un CSIRT
  • Administrateurs
  • Analystes
  • Responsables sécurité
 
Pré-requis
  • Formation SECUCYBER
  • (ou) Solides bases en sécurité des systèmes d'information
 
Méthode pédagogique
  • Cours magistral avec travaux pratiques et échanges intéractifs
 
Supports
  • Support de cours au format papier en français
  • Ordinateur portable mis à disposition du stagiaire
  • Cahier d'exercices et corrections des exercices
  • Certificat attestant de la participation à la formation
 
Modalité d’évaluation de la formation
  • Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration
 
Certification
  • A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECUBLUE par HS2.
Afficher les détails
 
Programme
 
Module 1 : État des lieux
Pourquoi la détection
Défense en profondeur
Tous compromis
Évolution de l'environnement
La "prévention détective"
 
Module 2 : Comprendre l'attaque
Objectifs de l'attaquant
Phases d'une attaque
Plusieurs champs de bataille
Réseau
Applications
Active Directory
La dimension métier
Portrait d'une attaque réussie
 
Module 3 : Architecture de détection
  • La base : segmentation et moindre privilège
  • Les classiques
    • Parefeu
    • IDS/IPS
    • WAF
    • SIEM
  • Les outsiders
    • "Self-defense" applicative
    • Honey-*
  • Valoriser les "endpoints"
    • Whitelisting
    • Sysmon
    • Protections mémoire
    • Mesures complémentaires de Windows 10
  • Focus : Journalisation
  • Les IOC
Yara
MISP
 
Module 4 : Blue Team vs. attaquant
  • Gérer les priorités
  • Détection et kill chain
    • Persistance
    • Post-exploitation
    • Exploitation
    • Reconnaissance
  • Focus: détecter et défendre dans le Cloud
 
Module 5 : Réponse à incident et Hunting
  • Le SOC
  • Outils de réponse
    • Linux
    • Windows
    • Kansa
  • Partons à la chasse    
    • Principes de base
  • Attaquer pour mieux se défendre
    • Audit "Purple team"
    • Focus: Bloodhound
  • ISO 27035
  • Aspects juridiques