1. Comprendre l'organisation et le métier d'analyste SOC : les enjeux, les méthodes, l'organisation, les rÎles et responsabilités, les outils
- Qu'est-ce qu'un SOC : Security Operation Center.
- Son usage, sa fonction, ses avantages et bénéfices
- Les fonctions du SOC : Logging, Monitoring, Reporting audit et sécurité, analyses post incidents.
- L'organisation et les outils d'un SOC
- Les différents types de SOC
- Le SIM (Security Information Management).
- Le SIEM (Security Information and Event Management).
- Le SEM (Security Event Management).
Workshops :
- Exercice pratique : définir la fiche de poste d'un analyste SOC. Sa mission, ses compétences
- Exercice pratique : conception d'une stratégie de monitoring sur la base de la détection d'événements et la qualification en incidents pour traitement
Â
2. MaĂźtriser les protocoles et techniques d'attaques
- Les protocoles réseaux
- Notions avancées sur IP, TCP et UDP, ARP et ICMP
- Les paquets IP, le routage, le source. routing
- La fragmentation IP et les rÚgles de réassemblage.
- Les Access Control Lists, le filtrage
- La sécurisation physique (sizing) et logique (systÚme d'exploitation, application) du serveur
- Les mesures de sécurité sur l'ensemble des composants : la porte ISO 27 001, ISO 27011 ainsi que le cadre de cyber sécurité du NIST
- Les outils de renforcement de la sécurité du réseau
Exercice : analyse du trafic d'un réseau. Analyse d'une anomalie. Utilisation d'un sniffer de type Wireshark.
Â
3. Les différents types d'attaques : réseau
- Utilisation d'ICMP et de SNMP comme un vecteur d'attaque, les covert chanels
- Le spoofing IP, ARP et DNS
- Les attaques par déni de service, Distributed DoS (Denial of Service), les Syn Flood
- Le Man in the Middle et le Meet in the Middle
- Le fraggle, le teardrop
- Le TCP
- Le TCP Hijacking
Workshops :
- Exercice pratique : Application d'ICMP et de SNMP. Repérage ou création d'attaque sur le réseau de type déni de service, Fraggle ou Man in the Middle
- Exercice pratique : comment exfiltrés des informations privées et personnelles à partir d'un navigateur, à partir d'ICMP
Â
4. Détecter et corriger des incidents et des fuites de données
- La gestion des incidents selon ISO 27 035
- La notion d'événement et de incidents. Classification selon leur impact et leur urgence de traitement.
- Le paramétrage des paliers d'alerte
- Les backdoors (& maintenance hook)
- Virus, vers, chevaux de troie
- Les attaques de type XSS et CSRF
Workshops :
- Exercice pratique : analyse d'un flux de type baseline d'un SIEM. Détection et traitement des événements et des anomalies.
- Exercice pratique : détection et traitement d'un malware de type de virus, vers ou cheval de Troie. Investigation confinement et full recovery.
- Exercice pratique : détecter et traiter une fuite de données
Â
5. Déploiement d'un outil de prévention et de détection d'intrusion de type SIEM
- Cette section est uniquement pratique. Elle consiste Ă installer, et surtout paramĂ©trer et optimiser un outil de SIEM. Le paramĂ©trage et l'optimisation sont deux notions clĂ©s pour gĂ©rer de maniĂšre optimale un SOC. Chaque outil doit ĂȘtre adaptĂ© au contexte est un processus mĂ©tier qui le supporte.
- à partir de cas d'usage, les stagiaires seront encadrés pour définir des rÚgles de paramétrage pour repérer au mieux les événements et les incidents, et surtout les corriger.