Inforensique-avancee-reponse-incidents

Formation inforensique avancée

1. Introduction à l’Inforensique Réseau & Threat Hunting 

• Gestion des incidents de sécurité : Étapes d’une intrusion cyber et cartographie des impacts systémiques.
• Threat Intelligence : Introduction et interfaçage avec les plateformes de partage (MISP, Yeti) et création d’IOC.
• Hunting & Triage de masse : Collecte de données à distance ou en local via GRR, Kansa et OSQuery.
• Automatisation de l’analyse : Filtrage par bases de confiance (NSRLDB), détection par entropie et repérage de binaires packés.

2. Analyse Forensic Post-Mortem Réseau

• Audit et corrélation des journaux applicatifs et d’infrastructure : DNS, HTTP, SGBD, Pare-feu, Syslog.
• Analyse approfondie de captures de paquets réseau (PCAP) et statistique des flux (Netflow).
• Identification des canaux de communication vers les serveurs de Command & Control (C2).
• Détection des canaux cachés (tunneling ICMP, exfiltration DNS) et des techniques de reconnaissance furtives.

3. Investigation de la Mémoire Volatile (RAM)

• Introduction aux principales structures de la mémoire vive et analyse des processus système.
• Traque des processus masqués, détection des injections de code et techniques d’évasion (Process-Hollowing).
• Analyse des structures complexes : Shellcodes, Handles, communications réseaux actives et composants Kernel (SSDT, IDT, Memory Pool).
• Manipulation du débogueur WinDbg et création de mini-dumps de processus suspects.
• Travaux Pratiques : Analyse « live » en temps réel d’un système d’exploitation compromis.

4. Systèmes de Fichiers (Focus Avancé NTFS)

• Introduction approfondie à l’architecture NTFS et étude des artefacts système disponibles.
• Compréhension fine des règles d’horodatage et de chronologie (Time Rules) sous Windows, Linux et OSX.
• Génération de chronologies de fichiers (Filesystem Timeline) et détection des falsifications de dates (Timestomping).

5. Traces d’Exécution et Mouvements Latéraux

• Analyse des mécanismes de persistance : fonctions Autostart (Linux, Windows, OSX), services, tâches planifiées et requêtes WMI.
• Travaux Pratiques Active Directory : Détecter une compromission d’infrastructure AD et générer une timeline des objets compromis.
• Recherche de portes dérobées (backdoors) dans l’AD, étude des EventID critiques et corrélation avec les outils d’attaque (Golden Ticket, etc.).

6. Reconstitution par Super-Timeline

• Présentation, méthodologie d’unification des sources et cas d’utilisation en gestion de crise.
• Exploitation pratique et visualisation chronologique collaborative à l’aide de l’outil Timesketch.

7. Fin de Session & Validation des Compétences

• Synthèse générale : Session ouverte de questions et réponses pour ancrer les compétences.
• Contrôle des connaissances : Passation du QCM technique d’évaluation des acquis

Profil formateur

• Expert Référent : Esteban F: Ingénieur Cybersécurité Senior & Expert Forensic.
  • Titres & Certifications : Diplôme d’Ingénieur BAC+5 spécialisé en Cybersécurité, certifié PASSI (Auditeur qualifié par l’ANSSI).
  • Compétences clés : Analyste SOC senior et spécialiste de la réponse aux incidents de sécurité majeurs (DFIR).
  • Maîtrise avancée : Développement d’outils et scripts en Python (scraping), manipulation des frameworks d’OSINT et de Threat Intelligence (Maltego, Spiderfoot, Sherlock), architectures réseaux et techniques avancées d’anonymisation.

Pour allez plus loin

Poursuivez la montée en compétences de vos équipes en Forensic et Investigation Numérique grâce à nos cursus avancés

• Analyse Inforensique Windows (5 jours) — Pour asseoir de parfaites bases post-mortem sur les artefacts Microsoft.
• Analyse de Malwares : Méthodologie et Pratique (2 jours) — Pour apprendre à isoler des charges suspectes et créer des règles YARA.
• Rétroingénierie de logiciels malfaisants / Reverse Engineering (5 jours) — Pour disséquer le code binaire pur (Ghidra, Radare2).