Objectif
Acquérir des compétences sur les techniques, outils et méthodologies liés à la détection d'intrusions au sein d'un SOC.
Description
- A l'issue de cette formation, les personnes seront en mesure de maitriser les compétences suivantes - Mettre en œuvre une stratégie de collecte et de détection adaptée à un SI. - Connaitre et maîtriser les bons reflexes en cas d’intrusion. - Qualifier l’étendue de cette compromission et évaluer les risques et les impacts associés. - Identifier le mode opératoire d'une compromission. - Préconiser des mesures de remédiation. - Mettre en place une démarche d'amélioration continue de l'efficacité du SOC.
Programme
- Partie 1 - Les fondamentaux
- Le contexte actuel de la détection d'intrusions
- Le cadre réglementaire et juridique de la détection et réponse à incidents
- Collecte et analyse des informations (journaux / données / …) sur des systèmes hôtes et serveurs, équipements d'infrastructure et équipements de sécurité
- Collecte et analyse des informations réseau (NetFlow, sondes NIDS, etc.)
- Mécanismes d'aggregation, d'enrichissements et de corrélation des événements (SIEM)
- Le contexte actuel de la détection d'intrusions
- Partie 2 - L'analyse de la menace
- Terminologie et principes
- Le cycle de vie des indicateurs de compromission (construction, stockage, partage, ...)
- L'importance des sources d'information de confiance
- L'intégration au sein d'un SOC/CERT
- Terminologie et principes
- Partie 3 - La construction d'un SOC
- Mise en place d'une stratégie de détection destinée à couvrir les incidents redoutés sur un système d'informations
- Mise en place d'une stratégie de collecte destinée à capturer les types d'événements pertinents du point de vue de la stratégie de détection, et choix des sources de logs
- Mise en place d'une stratégie de détection destinée à couvrir les incidents redoutés sur un système d'informations
- Partie 4 - La gestion opérationnelle d'un SOC
- Procédures opérationnelles pour la détection et la réponse à incidents (collaboration entre les équipes SOC et CERT, principe d'escalade, etc.)
- Principes de qualification des incidents en vue d'apprécier leur véracité et leur gravité
- Bonnes pratiques sur la réaction à adopter face aux incidents
- Démarches de remédiation face aux incidents
- Amélioration continue de l'efficacité du SOC
- Procédures opérationnelles pour la détection et la réponse à incidents (collaboration entre les équipes SOC et CERT, principe d'escalade, etc.)