Description

Au cours de ce module, les participants approfondissent l’étude des packages de données, apprennent à identifier les anomalies du réseau et à comprendre les alertes du système. Les participants maîtrisent l’utilisation d’outils connus d’interface en ligne de commande (CLI) et d’interface utilisateur graphique (GUI) pour se spécialiser davantage dans ce domaine. Les participants apprennent des méthodologies pour aborder les enquêtes sur les incidents.

Contenu technique

• Outils et méthodes de base de détection des intrusions
  o Sysmon
  o Wireshark avancé
  o Découverte des comptes d’utilisateurs
  o OS Fingerprinting
  o Intégration du GeoIP
  o Analyse des flux
  o Enquête sur les incidents
  o Tables de hash
  o Analyser les cyberévénements
  o Filtrage du Web
  o Événements du réseau
  o TShark : Outil CLI Wireshark
• Utilisation du module Scapy
  o Elaboration et analyse des packages
  o Travailler avec des fichiers PCAP
  o Reproduction de packages pour l’enquête
  

Description

Ce module permet de descendre jusqu’au SIEM (Security Information and Event Management – gestion des informations et événements sécurité), principal système utilisé par les analystes du SOC pour surveiller le réseau. Les participants installent une plateforme SIEM librement disponible et simulent différents scénarios à travers un environnement virtuel préparé à l’avance, imitant une organisation. L’environnement virtuel comprend : Pare-feu, WAF, un contrôleur de domaine et un antivirus.
Les participants démontrent dans un environnement en temps réel les différentes compétences pratiques acquises pendant le cours.

Contenu technique

Construire l’environnement SIEM

• Installation d’AlienVault
  Exploitation et configuration de votre SIEM
  Surveillance et corrélation SIEM
  Notifications
• Mise en place d’un SIEM Open Source
  Connexion des appareils au SIEM
  Évaluation et suivi de la vulnérabilité
  Contrôle de l’intégrité des fichiers (FIM)
• Déploiement de Security-Onion
  Installation et configuration de Security-Onion
  Améliorer le filtrage de vos logs avec Bro
• Définir votre méthodologie en matière de cybermenaces
• Surveillance et journalisation du réseau et de l’hôte DLP
  Surveillance à l’aide de l’environnement virtuel
• Surveillance et gestion des pare-feu à l’aide de Glasswire
• Plateformes d’exploitation forensiques centralisées
• Passerelle de courrier électronique et de spam et filtrage des passerelles web
• Surveillance des menaces et renseignements
• Liste blanche des applications ou contrôle de l’intégrité des fichiers
• Évaluation et suivi de la vulnérabilité
• Définir votre méthodologie en matière de cybermenaces

Description

Ce module explique et développe l’utilisation de Windows Management Instrumentation. Les participants apprennent comment le processus de gestion de base est accompli et comment utiliser WMI pour gérer les ordinateurs locaux et distants sur le réseau LAN. Ils consolident les connaissances acquises dans la construction d’outils de compétences dans les scripts PowerShell et l’utilisation régulière de WMI.

Contenu technique

Architecture du WMI

• Classes et espaces de noms WMI
• Utilisation des méthodes WMI
• Associations
• Travailler avec des ordinateurs distants
• Accès au registre
• Collecte d’informations
• Informations sur le stockage
• Exécution des commandes
• Événements WMI communs
• Détection avec WMI

Description

Ce module apprend aux participants à gérer un incident de sécurité d’entreprise, tout en évitant les erreurs courantes, ce qui augmente à la fois l’efficacité et l’efficience des efforts de réponse aux incidents.

Contenu technique

Outils et techniques pour les enquêtes forensiques numériques

• Analyse des données
• Analyse des formats de données à des fins d’enquête
• Analyse du comportement
• Examen des techniques de collecte de données
• L’essentiel de l’IR
• Politique de base et détection commune
• Nouveaux systèmes de relevé d’empreintes digitales
• Introduction à la chasse aux menaces