SOC et détection d'intrusions

  • Lieu : AMOSSYS / Rennes
  • Durée : 3 jours
  • Niveau : Panorama avancé
  • Ref. DETECT-AV

Public concerné

Analyste SOC/CERT, auditeur, ingénieur SSI, ...

Pré-requis

Connaissance des protocoles TCP/IP

Connaissances de base en administration système

Objectif

Acquérir des compétences sur les techniques, outils et méthodologies liés à la détection d'intrusions au sein d'un SOC.

Description

  • A l'issue de cette formation, les personnes seront en mesure de maitriser les compétences suivantes - Mettre en œuvre une stratégie de collecte et de détection adaptée à un SI. - Connaitre et maîtriser les bons reflexes en cas d’intrusion. - Qualifier l’étendue de cette compromission et évaluer les risques et les impacts associés. - Identifier le mode opératoire d'une compromission. - Préconiser des mesures de remédiation. - Mettre en place une démarche d'amélioration continue de l'efficacité du SOC.

Programme

  • Partie 1 - Les fondamentaux
    • Le contexte actuel de la détection d'intrusions
      • Le cadre réglementaire et juridique de la détection et réponse à incidents
        • Collecte et analyse des informations (journaux / données / …) sur des systèmes hôtes et serveurs, équipements d'infrastructure et équipements de sécurité
          • Collecte et analyse des informations réseau (NetFlow, sondes NIDS, etc.)
            • Mécanismes d'aggregation, d'enrichissements et de corrélation des événements (SIEM)
            • Partie 2 - L'analyse de la menace
              • Terminologie et principes
                • Le cycle de vie des indicateurs de compromission (construction, stockage, partage, ...)
                  • L'importance des sources d'information de confiance
                    • L'intégration au sein d'un SOC/CERT
                    • Partie 3 - La construction d'un SOC
                      • Mise en place d'une stratégie de détection destinée à couvrir les incidents redoutés sur un système d'informations
                        • Mise en place d'une stratégie de collecte destinée à capturer les types d'événements pertinents du point de vue de la stratégie de détection, et choix des sources de logs
                        • Partie 4 - La gestion opérationnelle d'un SOC
                          • Procédures opérationnelles pour la détection et la réponse à incidents (collaboration entre les équipes SOC et CERT, principe d'escalade, etc.)
                            • Principes de qualification des incidents en vue d'apprécier leur véracité et leur gravité
                              • Bonnes pratiques sur la réaction à adopter face aux incidents
                                • Démarches de remédiation face aux incidents
                                  • Amélioration continue de l'efficacité du SOC