Formation Détection et réponse aux incidents de sécurité

Détection et reponse à incidents de securité

État des lieux

• Pourquoi la détection
  • Défense en profondeur
  • Tous compromis
• Évolution de la menace
  • Principes de défense
  • CTI et renseignement
  • IOC, Yara, MISP

Comprendre l’attaque

• Objectifs de l’attaquant
• Phases d’une attaque
• Plusieurs champs de bataille
  • Réseau, Applications, Systèmes d’exploitation,
  • Active Directory, Utilisateurs et Cloud
• Portrait d’une attaque réussie

Architecture de détection

• Architecture sécurisée
• Détection : les classiques
  • IDS/IPS
  • SIEM, SandBox, Capture réseau, WAF
  • Valoriser les « Endpoint »
    • White listing, Sysmon, Protections mémoire,
    • Mesures complémentaires de Windows 10
  • Les outsiders
    • « Self-défense » applicative
    • Honey-*
    • Données DNS
  • Focus : Journalisation

Blue Team VS Attaquant

• Gérer les priorités
• Outils & techniques
  • Wireshark / TShark /Bro / Zeek Recherche d’entropie
  • Analyse longue traîne
  • Détection et kill Chain

Focus

• Détecter Bloodhound Exploitation
  • C&C, Mouvements latéraux,
• Attaques utilisant PowerShell
  • Elévation de privilèges, Persistance
• Détecter et défendre dans le Cloud

Réponse à incident et Hunting–

• Le SOC & CSIRT
• Triage
• Outils de réponse
  • Linux, Windows, Kansa, GRR
• Partons à la chasse
  • Principes de base
• Attaquer pour mieux se défendre
  • Audit « Purple équipe

Evaluation et fin de session

• Validation des acquis via QCM et mise en simulation

Nota : A l’issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l’examen donne droit à la certification de niveau de compétence. 

Autres formations disponibles au catalogue :

• Python pour test d’intrusion
• Lead Pentester
• Technique de Hacking avancées
• Test d’intrusion des systèmes industriels