SEMAFOR-CONSEIL
Votre guide en cybersécurité
Menu
/ Basique, Consultant en cybersécurité, Fondamentaux, Formations, Intervenant en cas d'incident, Spécialiste en cybersécurité / Par

SIEM/SOC

Fondamentaux

NS107

Sommaire

Description

Le centre des opérations de sécurité (SOC) est constitué d’une équipe d’experts qui surveille et protège le réseau informatique de l’organisation contre les attaques malveillantes et tous les cyberrisques.

Le cours SIEM / SOC apporte les compétences et les pratiques nécessaires à former le personnel du SOC et assurer la protection des biens informatiques de l’organisation.

La formation commence par une description générale des différentes fonctions d’un SOC et un entraînement approfondi sur ses technologies, jusqu’à une prise en main pratique en temps réel dans un environnement de simulation virtuelle.

L’objectif de cette formation est de former une équipe de sécurité hautement qualifiée, pragmatique et compétente au sein de l’organisation, capable de gérer en temps réel les incidents de cybersécurité.

Comment réussir au mieux ce cours

Pour réussir ce cours, il vous faudra :

  • Participer à l’ensemble des labos
  • Produire du travail personnel entre les cours
  • Exécuter les exercices, s’auto-former, réaliser les tâches demandées, etc.

Outre une participation active au cours, le participant doit fournir au moins 10h de travail personnel durant la semaine de cours afin d’acquérir une expérience pratique dans les domaines enseignés.
Le participant doit également posséder un ordinateur personnel capable de faire tourner un système virtuel avec une connexion Internet stable (voir ci-dessous pour plus de détails).

Public cible

Le cours s’adresse aux participants ayant des connaissances de base en matière de réseaux informatiques, qui souhaitent exploiter un SOC au niveau des analystes et des intervenants en cas d’incident, ou aux personnes qui font office d’analystes de la sécurité des entreprises.

  • Intervenants en cas d’incident
  • Administrateurs système/réseau
  • Personnel de sécurité informatique

Objectifs

  • Permettre aux participants de comprendre les rôles et les fonctionnalités du SOC
  • Acquérir les capacités pratiques pour travailler au sein d’un SOC en tant qu’analystes de niveau 1 et intervenants en cas d’incident
  • Comprendre le travail des enquêteurs forensiques dans un SOC
  • Mettre en pratique les connaissances acquises en temps réel grâce à l’environnement de simulation
  • Se familiariser avec les différents scénarios d’attaque

À la fin du cours SOC / SIEM, les participants savent intervenir au sein de l’équipe du centre opérationnel de sécurité.

Prérequis

Compétences confirmées en sécurité des réseaux et connaissances approfondies des cybermenaces.

Syllabus

Description

Le premier module présente l’environnement technique d’un centre d’opérations de sécurité et approfondit les processus de réseau, des protocoles, des pare-feu, des IDS/IPS, etc. Les participants se familiarisent avec les différentes étapes du processus d’enquête, qu’ils pratiqueront et mettront en œuvre à un stade ultérieur du cours.

Contenu technique

  • Travailler avec Linux
    o Annuaires Linux
    o Utilisateurs de Linux
    o Packages
    ▪ Packages Commands
    ▪ Mise à jour
    ▪ Installation et gestion
    o Commandes de manipulation de fichiers
    o Variables
    ▪ Interne
    ▪ Externe
    ▪ Terminal
    o Techniques de manipulation de textes et de fichiers
  • Mise en réseau
    o Protocoles de réseau et communications de données
    o Le modèle ISO
    o Analyse des packages à l’aide de Wireshark et Tshark
    ▪ Sniffer le réseau
    ▪ Analyser les packages
    ▪ “Étudier” le réseau et les atouts
    o Création et analyse de packages à l’aide de Scapy
  • Pare-feu sur Windows et Linux
    o Types de pare-feu
    ▪ Règles de base
    ▪ Nouvelle génération
    o Travailler avec les pare-feu
    ▪ Pare-feu Linux
    o Iptables
    o UFW
    ▪ Pare-feu et défenseur de Windows
    ▪ Définition des règles de pare-feu
    ▪ Comprendre les autorisations des pare-feu

Description

Au cours de ce module, les participants découvrent les différents rôles et fonctions qui composent l’environnement SOC et, plus important encore, font l’expérience des divers processus qui se déroulent régulièrement dans un SOC. Ces connaissances facilitent la coordination de tout le personnel du SOC pour assurer le bon déroulement des procédures. À la fin de ce module, les participants sauront comment gérer un incident de A à Z.

Contenu technique

  • Principes fondamentaux du SOC
    o Rôles et responsabilités
    o Événements du réseau
    ▪ Tentative d’activité infructueuse
    ▪ Activité non conforme
    ▪ Reconnaissance
    ▪ Enquêter
    ▪ Anomalie expliquée
    o Incidents de sécurité
    ▪ Intrusion au niveau de la racine
    ▪ Intrusion au niveau de l’utilisateur
    ▪ Déni de service
    ▪ Logique malveillante
    ▪ Identifier les intrusions externes/internes
    o Tactiques de réaction aux incidents – les phases de la réaction aux incidents
    o Sensibilisation et communication
  • Suivi du système
    o Attaques à l’intérieur et à l’extérieur du réseau
    ▪ Attaque d’hameçonnage
    ▪ Ingénierie sociale
    ▪ Attaques par déni de service
    o Identifier le trafic malveillant en utilisant les techniques avancées de Tshark

Description

Au cours de ce module, les participants apprennent à inspecter le réseau et les machines connectées. Ils explorent également les différents types d’attaques, tant internes qu’externes. Les participants apprennent les différences entre un événement et un incident de cybersécurité. À la fin de ce module, les participants sont capables d’identifier en temps réel un ordinateur du réseau compromis.

Contenu technique

  • Terminologie IDS et IPS
    o Système de détection des intrusions (IDS)
    ▪ Sur réseau
    ▪ Sur poste client
    o Système de prévention des intrusions (IPS)
    ▪ Sur réseau
    Sur poste client
    Déploiement de l’IDS et de l’IPS
    ▪ Utiliser Tshark pour identifier les anomalies du réseau
    Prise en main de PfSense
    o Installation et configuration
    o Définition et configuration des règles
    Créer du trafic utilisant la fonctionnalité NAT
    ▪ Configuration des règles de pare-feu
    o Gestion de la sécurité des réseaux
    o Sniffer

Description

Les entreprises déploient régulièrement diverses technologies de sécurité conçues pour prévenir et détecter les menaces, ainsi que pour renforcer et protéger les actifs. Ce module entre dans le détail des environnements SOC et de leur fonctionnement. Les participants construisent et configurent efficacement un environnement SOC apprennent à le corréler avec d’autres produits/actifs de sécurité. Un SOC permet une sécurité dynamique qui agit comme un véritable bastion d’analyse, de surveillance, de prévention et de remédiation.

Contenu technique

  • Préparer le cadre
    o L’empilement Elastic
    ▪ Introduction à l’ELK
    ▪ Déployer les battements
    ▪ Identifier les menaces
    ▪ Agrégation des données
    o Suivi en temps réel
  • Méthodologie de reporting
    o Analyse post-incident
    o Méthodologies de reporting
    o Conception des infrastructures

Labos

Les labos suivants font partie du cours NS107 :
  • Labo 1 Wireshark
  • Labo 2 Iptables
  • Labo 3 Filtrage de base des journaux
  • Labo 4 Filtrage avancé des journaux
  • Labo 5 Volatilité
  • Labo 6 Tshark de base
  • Labo 7 Wireshark avancé
  • Labo 8 Tshark avancé
  • Labo 9 Alertes au sniffage et au sniffage
  • Labo 10 PfSense
  • Labo 11 Filtrage ELK

Etudes de cas réels

Etude de cas #1( SCCA001)
Au cours de la crise du coronavirus, le département de recherche médicale de l'université a subi un piratage informatique. Des groupes criminels cherchent à exploiter la crise à des fins financières. Nous devons traquer leurs actions pour comprendre ce qui a été volé. Notre ingénieur technique a capturé le trafic réseau pendant l'attaque ; vous avez la mission de résoudre l'incident.
Reference
Etude de cas #2 (SCCA002)
Récemment, une grande compagnie d'assurance appelée VitaLife a subi une grave intrusion dans son système informatique. L'équipe du SOC qui a travaillé sur cette brèche ce jour-là est toujours en train d'enquêter sur les lieux. Il vous a été demandé de filtrer ces journaux pour trouver la cause possible de l'attaque.
Reference
Etude de cas #3 (SCCA003)
Selon des informations, environ 60 % de la population américaine a été exposée à ce que l'on pense être lle plus grand piratage jamais connu. Le département informatique a découvert un serveur non sécurisé, qui fait actuellement l'objet d'une enquête approfondie par votre équipe. L'entreprise utilise vos services pour enquêter sur le serveur qui contenait une grande quantité de ces données, afin de remédier à ce problème.
Reference
Etude de cas #4 (SCCA004)
Une société financière asiatique a été victime d'une attaque avec un logiciel de demande de rançon qui lui a fait payer un million de dollars en bitcoin pour restaurer des fichiers cryptés. Ils vous ont engagé comme spécialiste pour les aider à retrouver des traces. L'équipe du SOC a pu surveiller une partie de ce trafic qui pourrait contenir des informations précieuses liées à l'attaque.
Reference
Etude de cas #5 (SCCA005)
Une entreprise soupçonne qu'elle a été attaquée et a besoin de votre aide pour retrouver les traces de l'effraction sur son réseau par un groupe de pirates informatiques qui ciblent plusieurs entreprises et organisations en Allemagne.
Reference
Diapositive précédente
Diapositive suivante
NS107 SIEM/SOC Intermediate
S'inscrire

Type de Cours

Le participant peut bénéficier d’un des deux modes de cours :

  • Une classe de cours virtuelle avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
  • Des cours in situ avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena

Cependant, en raison des restrictions sanitaires, l’ensemble des cours se fait sous la forme de classes virtuelles. Toutes les sessions sont enregistrées et peuvent être re-visionnées pendant 30 jours. Tout le matériel de cours  est mis à disposition du participant sous  forme électronique, couvrant les syllabus, les labos, et les études de cas.

Groupe de Cours: Fondamentaux

NIVEAU
0%
1
HEURES

Entre Pratique et Théorie

Notre approche de la formation est éminemment pratique et vise à permettre au participant d’appliquer dans un contexte pratique les connaissances qu’il acquiert.
1 %
Pratique
1
Labos
1
Etudes de cas

CERTIFICATION

Ce cours prépare aux certifications suivantes:

  • CISM (ISACA),
  • GSEC (SANS),
  • GMON (SANS)

Équipement requis

Connexion réseau

Comme ce cours est essentiellement fondé sur un Learning Managament System (LMS), incluant une arène pour les labos, les participants ont besoin d’une connexion fiable à Internet.

Apporter votre propre matériel

Le cours étant principalement basé sur la pratique, les participants doivent avoir un ordinateur portable avec :

  • L’audio et la vidéo
  • 8 GB RAM
  • 200 GB d’espace disque
  • La capacité d’un environnement virtuel (capable de faire tourner la dernière version de Virtualbox ou un simulateur de machine virtuelle équivalent)

Et bien sûr un bon kit casque/micro. Plus de détails ici

Inscription

S'inscrire
SEMAFOR-CONSEIL
Politique de confidentialité
Contact