Forensique Réseaux

BT211

Sommaire

Description

La formation à la forensique des réseaux porte sur l’analyse du trafic réseau pour identifier les intrusions ou les activités anormales. Par rapport à la forensique informatique, où les preuves sont généralement conservées sur disque, les données de réseau sont plus volatiles et imprévisibles et nécessitent donc une approche différente.

Ce cours pose les bases de la compréhension des réseaux et du processus d’investigation sur ceux-ci. Les participants maîtriseront les bases de l’analyse forensique dans un environnement de réseau. Ce cours comprendra des démonstrations et des exercices de laboratoire pour renforcer les capacités pratiques.

Comment réussir au mieux ce cours

Pour réussir ce cours, il vous faudra :

  • Participer à l’ensemble des labos
  • Produire du travail personnel entre les cours
  • Exécuter les exercices, s’auto-former, réaliser les tâches demandées, etc.

Outre une participation active au cours, l’étudiant doit fournir au moins 10h de travail personnel durant la semaine de cours afin d’acquérir une expérience pratique dans les domaines enseignés.
Le participant doit également posséder un ordinateur personnel capable de faire tourner un système virtuel avec une connexion Internet stable (voir ci-dessous pour plus de détails).

Public cible

Ce cours s’adresse à ceux qui ont des connaissances de base sur :

  • Agents des services de police et de renseignement
  • Intervenants en cas d’incident
  • Enquêteurs informatiques
  • Administrateurs TI/réseaux
  • Personnel de sécurité informatique
  • Jeunes analystes de la cybercriminalité

Objectifs

  • Détection de divers types d’incidents informatiques et de réseaux
  • Analyser les artefacts de réseau laissés sur un système compromis
  • Comprendre les alertes et les avis
  • Réagir aux incidents
  • Surveillance du trafic réseau et analyse des journaux
  • Apprendre à travailler avec différents outils.

Prérequis

Cours ThinkCyber niveau 1

Syllabus

Description

Au cours de ce module, les participants apprendront à lire des paquets de données, à découper des fichiers et à identifier les activités suspectes sur le réseau. Les participants auront un aperçu de la manière dont une attaque sur le réseau est menée et comment elle peut être identifiée. Les participants seront chargés de construire des outils de défense essentiels qui déclencheront des alertes lorsque le système sera attaqué.

Contenu technique

  • Comprendre les composantes du réseau
    o Comprendre les pare-feu en réseau
    ▪ Filtre à paquets
    ▪ IDS commun
    o Analyse du trafic
    o Comprendre la structure des paquets
    ▪ Analyse des paquets
    o HAProxy
    o EtherApe
    o Wireshark
    ▪ Connaissance de Wireshark
    ▪ Statistiques
    ▪ Flux TCP
    ▪ Comprendre les règles de coloration
    ▪ Voir les options sur les paquets
    ▪ Explorez dans les protocoles communs

Description

Au cours de ce module, les participants comprendront les défis que pose l’enquête sur les cas concernant les réseaux. Les participants s’exerceront à utiliser divers outils et méthodes d’enquête pour corréler les données et recueillir des preuves.

Contenu technique

  • Processus d’enquête forensique réseaux
    o Compétences en matière d’automatisation
    ▪ TCPDump
    ▪ Extraction des lettres de créance
    ▪ Objets d’exportation
    o Attaque du MiTM
    ▪ Méthodes
    ▪ Différentes utilisations
    ▪ Outils communs MiTM
    ▪ Créez votre attaque
    o Trouver les anomalies du réseau
    o Analyse des flux
    o Sculpture de fichiers en réseau
    ▪ Wireshark
    ▪ NetworkMiner
    ▪ En premier lieu avec une configuration spéciale
    o Découvrir les tunnels du réseau.

Description

Au cours de ce module, les participants approfondiront l’étude des paquets de données, apprendront à identifier les anomalies du réseau et à comprendre les alertes du système. Les participants maîtriseront l’utilisation d’outils connus d’interface en ligne de commande (CLI) et d’interface utilisateur graphique (GUI) pour se spécialiser davantage dans ce domaine.

Contenu technique

  • Analyse avancée des réseaux
    o Wireshark avancé
    ▪ Analyse des flux
    ▪ Enquête avancée sur les incidents
    ▪ Enquêter sur les communications peu communes
    ▪ Décryptage du trafic SSL/TLS
    ▪ Recherche de logiciels malveillants et processus d’analyse
    o Tshark avancé
    ▪ Filtres à passage unique et à passages multiples
    ▪ Automatisation
    ▪ Enquête sur la charge utile
  • Zeek
    o Journaux de sortie
    o Automatisation du processus
    o Suivi des données dans les journaux
    o Zeek-Cut Parsing
  • Analyse de la VoIP
    o Protocole VoIP
    o Analyse du trafic VoIP
    o Boîte vocale
    o Messagerie SIP
    o DTMF
    o Décryptage des appels VoIP
    o Plugin Wireshark personnalisé
    o Analyse des messages VoIP REGISTER
    o Extraction de hashes
    o Craquage de mots de passe.

Description

Dans ce module, les participants apprendront à déployer des analyseurs automatiques de données, en utilisant des règles prédéfinies ou en élaborant des ensembles de règles personnalisés pour alerter et bloquer en cas de détection d’un trafic suspect.

Contenu technique

  • IPS vs. IDS
    o Outils et méthodes essentiels de détection des intrusions
    ▪ Installation et configuration de Sysmon
    ▪ Fichiers hachés
    ▪ Journal des événements Windows
    ▪ Analyser et filtrer les événements
    ▪ Événements du réseau
    o Analyse IDS/IPS
    ▪ Composants matériels et logiciels
    ▪ Processus de fonctionnement de l’IDS/IPS
    ▪ Configuration IDS/IPS
    ▪ Snort
    o Système de règles
    o Fonctionnement avec un pare-feu et des réseaux
    o Configuration avancée de Snort
    o Utilisation et mise à jour des règles intégrées
    o Création d’un système de décision personnalisé.

Description

Dans ce module, les participants résumeront les résultats de l’enquête et les consigneront dans un rapport. Celui-ci doit être compréhensible, factuel et défendable en détail selon les principes généraux de la forensique.

Contenu technique

  • Rédaction de rapports
    o Motif de l’enquête
    o Preuves examinées
    o Description de l’enquête
    o Détails de la constatation
    ▪ Fichiers récupérés
    ▪ Journaux d’accès au réseau
    ▪ Fichiers cachés
    ▪ Journaux de trafic du réseau
    ▪ Applications utilisées pour des activités illicites
    ▪ Cryptage et techniques utilisées pour cacher les données.

Labos

Les labos suivants font partie du cours BT211 :

  • Labo 1 Configuration du pare-feu
  • Labo 2 Analyse des paquets
  • Labo 3 Travailler avec Tshark
  • Labo 4 Attaques de réseaux
  • Labo 5 Découpage de fichiers de réseau
  • Labo 6 Fichiers de réseau gravés dans la mémoire
  • Labo 7 Décryptage du trafic crypté
  • Labo 8 Travailler avec Zeek
  • Labo 9 Analyse du trafic VoIP
  • Labo 10 Automatisation avec Sysmon
  • Labo 11 Création d’outils de sécurité des réseaux

Etudes de cas réels

Etude de cas #1 (NF001)
L'une des plus grandes sociétés d'hébergement de sites web a subi une fuite massive de données ; les attaquants ont repéré un flux de sécurité dans l'un des documents. Le gestionnaire du réseau a besoin de votre aide pour enregistrer et analyser les événements en cours afin de découvrir la source de la fuite.
Reference
Etude de cas #2 (NF002)
Récemment, un groupe de hackers a réussi à tromper un groupe d'entreprises privées et leur faire virer une grosse somme d'argent à eux en truquant un site web d'investissement ; les entreprises étaient sûres d'investir dans des start-ups alors qu'en réalité, elles envoyaient de l'argent aux attaquants. L'équipe SOC a réussi à saisir les données transmises entre les groupes. Votre travail consiste à analyser le trafic du réseau et à trouver les pirates.
Reference
Précédent
Suivant
BT211

Type de Cours

Le participant peut bénéficier d’un des deux modes de cours :

  • Une classe de cours virtuelle avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
  • Des cours in situ avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena

Cependant, en raison des restrictions sanitaires, l’ensemble des cours se fait sous la forme de classes virtuelles.

Toutes les sessions sont enregistrées et peuvent être re-visionnées pendant 30 jours.

Tout le matériel de cours  est mis à disposition du participant sous  forme électronique, couvrant les syllabus, les labos, et les études de cas.

 Groupe de cours: Défense

LEVEL
0%
1
HOURS

Entre Pratique et Théorie

Notre approche de la formation est éminemment pratique et vise à permettre au participant d’appliquer dans un contexte pratique les connaissances qu’il acquiert.
1 %
Pratique
1
Labos
1
Etudes de cas

Certification

Ce cours prépare aux certifications suivantes:

  • CNFE (Mile2)

Équipement requis

Connexion réseau

Comme ce cours est essentiellement fondé sur un Learning Managament
System (LMS), incluant une arène pour les labos, les participants ont besoin d’une connexion fiable à Internet.

Apporter votre propre matériel

Le cours étant principalement basé sur la pratique, les participants doivent avoir un ordinateur portable avec :

  • L’audio et la vidéo
  • 8 GB RAM
  • 200 GB d’espace disque
  • La capacité d’un environnement virtuel (capable de faire tourner
    la dernière version de Virtualbox ou un simulateur de machine virtuelle
    équivalent)

Et bien sûr un bon kit casque/micro.

Plus de détails ici

Inscription