Détection et réponse aux incidents de sécurité

FOR_1705-0017

Détection et réponse aux incidents de sécurité

Objectifs:

  • Mettre en place une architecture de détection
  • Appliquer la notion de "prévention détective"
  • Limiter l'impact d'une compromission
  • Prioriser les mesures de surveillance à implémenter
  • Maîtriser le processus de réponse à incident

Public:

  • Membres d'un SOC ou d'un CSIRT
  • Administrateurs
  • Analystes
  • Responsables sécurité

Durée:

35 heures

Programme:

Module 1 : État des lieux
  • Pourquoi la détection
    • Défense en profondeur
    • Tous compromis
  • Évolution de l'environnement
  • La "prévention détective"
Module 2 : Comprendre l'attaque
  • Objectifs de l'attaquant
  • Phases d'une attaque
  • Plusieurs champs de bataille
    • Réseau
    • Applications
    • Active Directory
    • La dimension métier
  • Portrait d'une attaque réussie
Module 3 : Architecture de détection
  • La base : segmentation et moindre privilège
  • Les classiques
    • Parefeu
    • IDS/IPS
    • WAF
    • SIEM
  • Les outsiders
    • "Self-defense" applicative
    • Honey-*
  • Valoriser les "endpoints"
    • Whitelisting
    • Sysmon
    • Protections mémoire
    • Mesures complémentaires de Windows 10
  • Focus : Journalisation
  • Les IOC
    • Yara
    • MISP
Module 4 : Blue Team vs. attaquant
  • Gérer les priorités
  • Détection et kill chain
    • Persistance
    • Post-exploitation
    • Exploitation
    • Reconnaissance
  • Focus: détecter et défendre dans le Cloud
Module 5 : Réponse à incident et Hunting
  • Le SOC
  • Outils de réponse
    • Linux
    • Windows
    • Kansa
  • Partons à la chasse
    • Principes de base
  • Attaquer pour mieux se défendre
    • Audit "Purple team"
    • Focus: Bloodhound
  • ISO 27035
  • Aspects juridiques

Parcours de formation disponibles sur demande

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

SecNumAcademie - Formation à la Cybersécurité...

par ANSSI_FR

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous

By G-echo

Pour aller plus loin

Ressources