Analyste SOC (Security Operation Center) Mixte : présentiel / à distance

DerniĂšre mise Ă  jour : 08/10/2024

Pré-inscription

Valider la pré-inscription

Présentation

Il s'agit d'un cours trÚs pratique qui met en avant les techniques d'attaque les plus avancées. L'enjeu consistant à détecter (voire les anticiper), et les corriger en apportant la riposte la plus efficace et efficiente.

Le cours s'appuie sur des attaques réelles dans un environnement sandboxé (virtuel et protégé pour des questions de sécurité), à partir d'un outil dédié (un SIEM : Security Information & Event Management). Tous les composants du systÚme d'information sont ciblés : serveurs Web, clients, réseaux, firewall, bases de données...

 

Cette formation est divisée en deux parties :

  • La premiĂšre concerne une prĂ©sentation de l'organisation, les concepts, les mĂ©thodes, les techniques, les outils.
  • La seconde consiste en une application au sein d'un outil de dĂ©tection et de gestion de type SIEM (IBM Qradar et/ou Splunk au choix), avec introduction de malwares (entre autres) et gestion de la dĂ©tection et de la correction.

Eligible au financement OPCO

 

En savoir plus sur les dispositifs de financement

Objectifs

  • ConnaĂźtre l'organisation d'un SOC
  • Comprendre le mĂ©tier d'analyste SOC
  • ApprĂ©hender les outils utilisĂ©s par les analystes SOC
  • Identifier les principales problĂ©matiques Ă  travers des cas d'usage
  • Apprendre Ă  dĂ©tecter des intrusions
  • Savoir gĂ©rer diffĂ©rents incidents
  • Optimiser la sĂ©curitĂ© d'un systĂšme d'information

Programme

visuel

1. Comprendre l'organisation et le métier d'analyste SOC : les enjeux, les méthodes, l'organisation, les rÎles et responsabilités, les outils

  • Qu'est-ce qu'un SOC : Security Operation Center.
  • Son usage, sa fonction, ses avantages et bĂ©nĂ©fices
  • Les fonctions du SOC : Logging, Monitoring, Reporting audit et sĂ©curitĂ©, analyses post incidents.
  • L'organisation et les outils d'un SOC
  • Les diffĂ©rents types de SOC
  • Le SIM (Security Information Management).
  • Le SIEM (Security Information and Event Management).
  • Le SEM (Security Event Management).

Workshops :

  • Exercice pratique : dĂ©finir la fiche de poste d'un analyste SOC. Sa mission, ses compĂ©tences
  • Exercice pratique : conception d'une stratĂ©gie de monitoring sur la base de la dĂ©tection d'Ă©vĂ©nements et la qualification en incidents pour traitement

 

2. MaĂźtriser les protocoles et techniques d'attaques

  • Les protocoles rĂ©seaux
  • Notions avancĂ©es sur IP, TCP et UDP, ARP et ICMP
  • Les paquets IP, le routage, le source. routing
  • La fragmentation IP et les rĂšgles de rĂ©assemblage.
  • Les Access Control Lists, le filtrage
  • La sĂ©curisation physique (sizing) et logique (systĂšme d'exploitation, application) du serveur
  • Les mesures de sĂ©curitĂ© sur l'ensemble des composants : la porte ISO 27 001, ISO 27011 ainsi que le cadre de cyber sĂ©curitĂ© du NIST
  • Les outils de renforcement de la sĂ©curitĂ© du rĂ©seau

Exercice : analyse du trafic d'un réseau. Analyse d'une anomalie. Utilisation d'un sniffer de type Wireshark.

 

3. Les différents types d'attaques : réseau

  • Utilisation d'ICMP et de SNMP comme un vecteur d'attaque, les covert chanels
  • Le spoofing IP, ARP et DNS
  • Les attaques par dĂ©ni de service, Distributed DoS (Denial of Service), les Syn Flood
  • Le Man in the Middle et le Meet in the Middle
  • Le fraggle, le teardrop
  • Le TCP
  • Le TCP Hijacking

Workshops :

  • Exercice pratique : Application d'ICMP et de SNMP. RepĂ©rage ou crĂ©ation d'attaque sur le rĂ©seau de type dĂ©ni de service, Fraggle ou Man in the Middle
  • Exercice pratique : comment exfiltrĂ©s des informations privĂ©es et personnelles Ă  partir d'un navigateur, Ă  partir d'ICMP

 

4. Détecter et corriger des incidents et des fuites de données

  • La gestion des incidents selon ISO 27 035
  • La notion d'Ă©vĂ©nement et de incidents. Classification selon leur impact et leur urgence de traitement.
  • Le paramĂ©trage des paliers d'alerte
  • Les backdoors (& maintenance hook)
  • Virus, vers, chevaux de troie
  • Les attaques de type XSS et CSRF

Workshops :

  • Exercice pratique : analyse d'un flux de type baseline d'un SIEM. DĂ©tection et traitement des Ă©vĂ©nements et des anomalies.
  • Exercice pratique : dĂ©tection et traitement d'un malware de type de virus, vers ou cheval de Troie. Investigation confinement et full recovery.
  • Exercice pratique : dĂ©tecter et traiter une fuite de donnĂ©es

 

5. Déploiement d'un outil de prévention et de détection d'intrusion de type SIEM

  • Cette section est uniquement pratique. Elle consiste Ă  installer, et surtout paramĂ©trer et optimiser un outil de SIEM. Le paramĂ©trage et l'optimisation sont deux notions clĂ©s pour gĂ©rer de maniĂšre optimale un SOC. Chaque outil doit ĂȘtre adaptĂ© au contexte est un processus mĂ©tier qui le supporte.
  • À partir de cas d'usage, les stagiaires seront encadrĂ©s pour dĂ©finir des rĂšgles de paramĂ©trage pour repĂ©rer au mieux les Ă©vĂ©nements et les incidents, et surtout les corriger.

Public visé

  • Techniciens et administrateurs SystĂšmes et RĂ©seaux
  • Responsables informatiques
  • Responsables techniques
  • RSSI (responsables de la sĂ©curitĂ© des systĂšmes d'information)
  • Consultants en sĂ©curitĂ© de l'information
  • Architectes rĂ©seaux

Informations sur l'admission

Nous consulter.

Prérequis

Modalités pédagogiques

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

  • Formation en prĂ©sentiel
    • En groupe (inter-entreprises ou intra-entreprise)
    • En individuel (monitorat)
    • En journĂ©e ou en cours du soir (sur demande spĂ©cifique)
  • Formation en distanciel
    • Distanciel synchrone
    • Distanciel asynchrone

Moyens et supports pédagogiques

  • Apports des connaissances communes.
  • Mises en situation sur le thĂšme de la formation et des cas concrets.
  • MĂ©thodologie d'apprentissage attractive, interactive et participative.
  • Equilibre thĂ©orie / pratique : 60 % / 40 %.
  • Supports de cours fournis au format papier et/ou numĂ©rique.
  • Ressources documentaires en ligne et rĂ©fĂ©rences mises Ă  disposition par le formateur.
  • Pour les formations en prĂ©sentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours Ă©quipĂ©e d'un rĂ©seau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriĂ©s est mis Ă  disposition (le cas Ă©chĂ©ant).

Modalités d'évaluation et de suivi

En amont de la formation

  • Recueil des besoins des apprenants afin de disposer des informations essentielles au bon dĂ©roulĂ© de la formation (profil, niveau, attentes particuliĂšres...).
  • Auto-positionnement des apprenants afin de mesurer le niveau de dĂ©part.

 

Tout au long de la formation

  • Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

 

A la fin de la formation

  • Auto-positionnement des apprenants afin de mesurer l'acquisition des compĂ©tences.
  • Evaluation par le formateur des compĂ©tences acquises par les apprenants.
  • Questionnaire de satisfaction Ă  chaud afin de recueillir la satisfaction des apprenants Ă  l'issue de la formation.
  • Questionnaire de satisfaction Ă  froid afin d'Ă©valuer les apports ancrĂ©s de la formation et leurs mises en application au quotidien.

Accessibilité

Nos formations peuvent ĂȘtre adaptĂ©es Ă  certaines conditions de handicap. Nous contacter pour toute information et demande spĂ©cifique.

Accessibilité à nos formations

Si vous ĂȘtes en situation de handicap, contactez-nous avant le dĂ©but de votre formation pour que nous puissions vous orienter efficacement et vous accueillir dans les meilleures conditions.

Inscription possible jusqu'à 10 jours avant le démarrage de la formation

Prochaines Sessions

  • DĂ©solĂ©, cette formation n'est pas programmĂ©e pour le moment.

    Si vous ĂȘtes responsable formation, vous pouvez faire une requĂȘte pour l'organiser en INTRA dans votre entreprise.

Dans la mĂȘme catĂ©gorie

Catalogue de formation propulsé par Dendreo,
Plateforme dédiée pour les OF