Analyste SOC (Security Operation Center) Mixte : présentiel / à distance

Dernière mise à jour : 21/12/2023

Bannière visuelle de présentation de la formation

Présentation

Il s'agit d'un cours très pratique qui met en avant les techniques d'attaque les plus avancées. L'enjeu consistant à détecter (voire les anticiper), et les corriger en apportant la riposte la plus efficace et efficiente.

Le cours s'appuie sur des attaques réelles dans un environnement sandboxé (virtuel et protégé pour des questions de sécurité), à partir d'un outil dédié (un SIEM : Security Information & Event Management). Tous les composants du système d'information sont ciblés : serveurs Web, clients, réseaux, firewall, bases de données...

 

Cette formation est divisée en deux parties :

  • La premi√®re concerne une pr√©sentation de l'organisation, les concepts, les m√©thodes, les techniques, les outils.
  • La seconde consiste en une application au sein d'un outil de d√©tection et de gestion de type SIEM (IBM Qradar et/ou Splunk au choix), avec introduction de malwares (entre autres) et gestion de la d√©tection et de la correction.

Informations éligibilité financement Actions Collectives

Formation pouvant être prise en charge à 100% dans le cadre des Actions Collectives.

 

Pour en bénéficier, contactez-nous à hello.institute@docaposte.fr et complétez votre inscription sur campusAtlas. 

https://www.docaposteinstitute.com/wp-content/uploads/2023/08/Eligible-actions-co-1.png

Objectifs

  • Conna√ģtre l'organisation d'un SOC
  • Comprendre le m√©tier d'analyste SOC
  • Appr√©hender les outils utilis√©s par les analystes SOC
  • Identifier les principales probl√©matiques √† travers des cas d'usage
  • Apprendre √† d√©tecter des intrusions
  • Savoir g√©rer diff√©rents incidents
  • Optimiser la s√©curit√© d'un syst√®me d'information

Programme

1. Comprendre l'organisation et le m√©tier d'analyste SOC : les enjeux, les m√©thodes, l'organisation, les r√īles et responsabilit√©s, les outils

  • Qu'est-ce qu'un SOC : Security Operation Center.
  • Son usage, sa fonction, ses avantages et b√©n√©fices
  • Les fonctions du SOC : Logging, Monitoring, Reporting audit et s√©curit√©, analyses post incidents.
  • L'organisation et les outils d'un SOC
  • Les diff√©rents types de SOC
  • Le SIM (Security Information Management).
  • Le SIEM (Security Information and Event Management).
  • Le SEM (Security Event Management).

Workshops :

  • Exercice pratique : d√©finir la fiche de poste d'un analyste SOC. Sa mission, ses comp√©tences
  • Exercice pratique : conception d'une strat√©gie de monitoring sur la base de la d√©tection d'√©v√©nements et la qualification en incidents pour traitement

 

2. Ma√ģtriser les protocoles et techniques d'attaques

  • Les protocoles r√©seaux
  • Notions avanc√©es sur IP, TCP et UDP, ARP et ICMP
  • Les paquets IP, le routage, le source. routing
  • La fragmentation IP et les r√®gles de r√©assemblage.
  • Les Access Control Lists, le filtrage
  • La s√©curisation physique (sizing) et logique (syst√®me d'exploitation, application) du serveur
  • Les mesures de s√©curit√© sur l'ensemble des composants : la porte ISO 27 001, ISO 27011 ainsi que le cadre de cyber s√©curit√© du NIST
  • Les outils de renforcement de la s√©curit√© du r√©seau

Exercice : analyse du trafic d'un réseau. Analyse d'une anomalie. Utilisation d'un sniffer de type Wireshark.

 

3. Les différents types d'attaques : réseau

  • Utilisation d'ICMP et de SNMP comme un vecteur d'attaque, les covert chanels
  • Le spoofing IP, ARP et DNS
  • Les attaques par d√©ni de service, Distributed DoS (Denial of Service), les Syn Flood
  • Le Man in the Middle et le Meet in the Middle
  • Le fraggle, le teardrop
  • Le TCP
  • Le TCP Hijacking

Workshops :

  • Exercice pratique : Application d'ICMP et de SNMP. Rep√©rage ou cr√©ation d'attaque sur le r√©seau de type d√©ni de service, Fraggle ou Man in the Middle
  • Exercice pratique : comment exfiltr√©s des informations priv√©es et personnelles √† partir d'un navigateur, √† partir d'ICMP

 

4. Détecter et corriger des incidents et des fuites de données

  • La gestion des incidents selon ISO 27 035
  • La notion d'√©v√©nement et de incidents. Classification selon leur impact et leur urgence de traitement.
  • Le param√©trage des paliers d'alerte
  • Les backdoors (& maintenance hook)
  • Virus, vers, chevaux de troie
  • Les attaques de type XSS et CSRF

Workshops :

  • Exercice pratique : analyse d'un flux de type baseline d'un SIEM. D√©tection et traitement des √©v√©nements et des anomalies.
  • Exercice pratique : d√©tection et traitement d'un malware de type de virus, vers ou cheval de Troie. Investigation confinement et full recovery.
  • Exercice pratique : d√©tecter et traiter une fuite de donn√©es

 

5. Déploiement d'un outil de prévention et de détection d'intrusion de type SIEM

  • Cette section est uniquement pratique. Elle consiste √† installer, et surtout param√©trer et optimiser un outil de SIEM. Le param√©trage et l'optimisation sont deux notions cl√©s pour g√©rer de mani√®re optimale un SOC. Chaque outil doit √™tre adapt√© au contexte est un processus m√©tier qui le supporte.
  • √Ä partir de cas d'usage, les stagiaires seront encadr√©s pour d√©finir des r√®gles de param√©trage pour rep√©rer au mieux les √©v√©nements et les incidents, et surtout les corriger.

Public visé

  • Techniciens et administrateurs Syst√®mes et R√©seaux
  • Responsables informatiques
  • Responsables techniques
  • RSSI (responsables de¬†la¬†s√©curit√© des¬†syst√®mes d'information)
  • Consultants en¬†s√©curit√© de¬†l'information
  • Architectes r√©seaux

Modalités pédagogiques

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

 

  • Formation en pr√©sentiel
    • En groupe (inter-entreprises ou intra-entreprise)
    • En individuel (monitorat)
    • En journ√©e ou en cours du soir (sur demande sp√©cifique)
  • Formation en distanciel
    • Distanciel synchrone
    • Distanciel asynchrone

Prérequis

  • Conna√ģtre le guide s√©curit√© de l'ANSSI,
  • Avoir des connaissances en r√©seau,
  • Avoir suivi le parcours introductif √† la cybers√©curit√© ou poss√©der des connaissances √©quivalentes.

Moyens et supports pédagogiques

  • Apports¬†des connaissances communes.
  • Mises en situation sur le th√®me de la formation¬†et des cas concrets.
  • M√©thodologie d'apprentissage attractive, interactive et participative.
  • Equilibre th√©orie / pratique : 60 % / 40 %.
  • Supports de cours fournis au format papier et/ou num√©rique.
  • Ressources documentaires en ligne et r√©f√©rences mises √† disposition par le formateur.
  • Pour les formations en pr√©sentiel dans les locaux mis¬†√† disposition, les apprenants¬†sont accueillis dans une salle de cours √©quip√©e d'un r√©seau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropri√©s est mis √† disposition (le cas √©ch√©ant).

Modalités d'évaluation et de suivi

En amont de la formation

 

  • Recueil des besoins des apprenants afin de disposer¬†des informations essentielles¬†au bon d√©roul√© de la formation (profil, niveau,¬†attentes particuli√®res...).
  • Auto-positionnement des apprenants¬†afin de mesurer le niveau de d√©part.

Tout au long de la formation

 

  • √Čvaluation continue des acquis avec¬†des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation

 

  • Auto-positionnement des apprenants¬†afin de mesurer l'acquisition des comp√©tences.
  • Evaluation par le formateur des comp√©tences acquises par les apprenants.
  • Questionnaire de satisfaction √† chaud afin de recueillir la satisfaction des¬†apprenants¬†√† l'issue de la formation.
  • Questionnaire de satisfaction √† froid afin d'√©valuer les apports ancr√©s de la formation et leurs mises en application au quotidien.

Accessibilité

Nos formations peuvent être adaptées à certaines conditions de handicap. Nous contacter pour toute information et demande spécifique.

M'inscrire à la formation

Valider la pré-inscription
Inscription possible jusqu'à 10 jours avant démarrage formation

Prochaines Sessions

  • D√©sol√©, cette formation n'est pas programm√©e pour le moment.

    Si vous êtes responsable formation, vous pouvez faire une requête pour l'organiser en INTRA dans votre entreprise.

Dans la même catégorie

Catalogue de formation propulsé par Dendreo,
Plateforme dédiée pour les OF