Inforensique avancée: industrialisez les enquêtes sur vos infrastructures

FOR_1705-0012

Inforensique avancée: industrialisez les enquêtes sur vos infrastructures

Objectifs:

  • Appréhender la corrélation des événements
  • Retro-concevoir des protocoles de communications
  • Analyser des systèmes de fichiers corrompus
  • Connaître et analyser la mémoire volatile des systèmes d'exploitation des événements

Public:

  • Tout membre d'une équipe de réponse à incident qui est amené à traiter des incidents de sécurité ou intrusions complexes émanant de menaces sophistiquées
  • Professionnel de l'inforensique qui souhaite renforcer et développer ses connaissances de l'inforensique et de la réponse aux incidents
  • Membres d'agences gouvernementales ou détectives qui souhaitent maîtriser l'inforensique et étendre leur champ de compétences en investigation pour pouvoir traiter les cas de fuites d'informations, d'intrusion et d'analyses techniques avancées
  • Experts en sécurité avec une expérience en tests d'intrusion, réponse aux incidents et écriture d'exploits
  • Responsables sécurité qui désirent maîtriser l'inforensique pour en comprendre les implications en sécurité de l'information et les problématiques liées aux éventuelles poursuites découlant d'un incident ou tout simplement pour gérer une équipe de réponse à incident

Durée:

35 heures

Programme:

Module 1: Intrusion en entreprise

  • Présentation

  • Étapes d'une intrusion

  • Impact de celles-ci

  • Comment réduire le délai ?

  • Indices de compromission (IOC)

  • Création

  • Déploiement

  • Acquisition d'informations à distance

  • Artefacts clés

  • Powershell

  • Agents GRR

  • Détection du périmètre

  • Journaux d'événements : Capture, Corrélation

  • Balayage d'entreprises : IOC, Powershell

Module 2 : Systèmes de fichiers

  • Analyse des systèmes de fichiers NTFS, EXTx, HFS+

  • Structure interne (métafichiers);

  • Boot Sector;

  • Recouvrement d'informations supprimées

  • Modification des métadonnées;

  • Suppression de documents;

  • Recherche par motifs

  • Reconstruction d'un système de fichiers

  • Master Boot Record

  • Table des partitions

    • DOS

    • GPT

Module 3: Analyse de la mémoire

  • Introduction

  • Pourquoi analyser la mémoire

  • Outils d'acquisition

    • Drivers, Machines virtuelles, DMA

  • Outils d'analyse

    • Rekall, Volatility, Windbg

  • Présentation des principales structures mémoires

  • Linux / MacOS / Windows

  • Analyse de la mémoire

  • Processus

    • Processus "cachés"

    • Traces d'injection de code

    • Process-Hollowing

    • Shellcode

  • Détection et analyses

    • Handles

  • Communications réseau

  • Noyaux : Hooking, Memory Pool

  • Traces d'actions utilisateurs

    • Artefacts du système d'exploitation

Jour 4 : Automatisation des opérations

  • Création d'une timeline

  • Systèmes

  • Mémoire

  • Corrélation entre différentes timelines

  • Examen


Parcours de formation disponibles sur demande

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

SecNumAcademie - Formation à la Cybersécurité...

par ANSSI_FR

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous

By G-echo

Pour aller plus loin

Ressources