L'actualité le montre chaque jour davantage, nos organisations sont exposées à des menaces d'un nouveau genre qui peuvent fortement impacter leur fonctionnement. Clairement décidées à agir, nombreuses sont celles qui recourent aux services d'un SOC (Security Operations Center), que celui-ci soit intégré ou externalisé. L'objectif ? Pourvoir s'appuyer sur une cellule dont la mission est de prévenir, détecter et gérer les incidents de cybersécurité au plus tôt tout en menant les actions nécessaires pour qu'ils surviennent le moins possible. Au coeur du dispositif, l'analyste SOC assure la surveillance du système d'information afin de détecter les attaques dont il fait l'objet mais aussi les risques éventuels auxquels il est exposé. Véritable professionnel de la sécurité, il doit limiter la portée des attaques, interpréter les menaces et mener les actions visant à s'en préserver.
Objectifs de cette formation
Analyste SOC (Security Operations Center) - Connaître l'organisation d'un SOC
- Comprendre le métier d'analyste SOC
- Appréhender les outils utilisés par les analystes SOC
- Identifier les principales problématiques à travers des cas d'usage
- Apprendre à détecter des intrusions
- Savoir gérer différents incidents
- Optimiser la sécurité d'un système d'information
- Techniciens et administrateurs Systèmes et Réseaux, responsables informatiques, consultants en sécurité, ingénieurs, responsables techniques, architectes réseaux, chefs de projets...
1ère partie (2 jours)
Principes et référentiels de gestion des incidents cybersécurité
- Introduction à la gestion des incidents cybersécurité
- NIST SP 800-61 Vs ISO / CEI 27035
- Les phases de gestion d'incident de cybersécurité
- Partage d'informations
Les métiers du SOC : Incident Handling and Computer Forensics selon NIST
- Organisation d'une capacité de réponse aux incidents
- Processus de gestion des incidents
- Coordination et partage d'informations
- Exemples pratiques de réponses à des scénarios d'incidents cybersécurité : les signes d'incidents et les sources de collecte, incident relatif à un malware, incident de déni de service DoS, incident de défiguration de site web
2ème partie (2 jours)
Organisation et outils du SOC : Cybersecurity monitoring et SOC Foundation
- Les enjeux de la surveillance du SI et SOC
- Introduction à « Security Monitoring »
- Security Operational Center – SOC
- Les modèles de SOC
- Les bases du SIEM
- Comment Fonctionne SIEM ?
- Évolution du SIEM
- Réponse aux incidents et automatisation avec SIEM
- Cas d'utilisation d'un NG-SIEM
Vulnerability Management
- Introduction à la gestion des vulnérabilités
- Processus de gestion des vulnérabilités
- L'évolution du cycle de gestion des vulnérabilités
- Les nouveaux systèmes de gestion des vulnérabilités – VMS
3ème partie (2 jours)
Cybersecurity Intelligence Incident Response Technologies
- EndPoint Detection et Response – EDR : EndPoint Protection Plateform – EPP, Enjeux et défis, l'apparition de l'EDR, évolution des EPP, mode opératoire des nouvelles solutions EPP, exemple d'une réponse par EDR à une attaque Ransomware
- Security Orchestration Automation et Response – SOAR : les nouveaux défis des SOCs, Security Orchestration Automation et Response (SOAR), OAR Vs SIEM, User and Entity Behavior Analytics – UEBA, comment mettre en oeuvre une solution SOAR, avantages, pièges et conseils de mise en oeuvre une solution SOAR, cas d'utilisation de l'automatisation de la sécurité pour votre entreprise (PLAYBOOK)
Implémentation du SIEM : les sources de données et la collecte de logs
- Sélection des logs à analyser
- Collecte des logs avec rsyslog (Linux)
- Collecte des logs avec Sysmon (Windows)
- Surveillance des logs du réseau
4ème partie (2 jours)
Implémentation du SIEM : centralisation des alertes avec la stack ELK
- La stack ELK
- Allez plus loin avec ELK
Les scénarios d'attaque avec la matrice ATTetCK et analyses tactiques
- Utilisation de la matrice ATTetCK
- Identification des scénarios d'attaque
- Réflexions et analyses tactiques (SIEM)
Les plus de cette formation
Analyste SOC (Security Operations Center) - Ce parcours d'une durée de 8 jours se découpe en 4 modules de 2 jours. Le rythme visé est un module toutes les deux semaines sur une amplitude maximale de 2 mois.
- Un programme étudié pour permettre aux participants d'intégrer un SOC en étant opérationnel sur les outils et méthodes.
- Cette formation se compose d'une alternance d'apports théoriques, de travaux pratiques, de démonstrations, de phases d'échanges entre participants et de synthèses de la part du formateur.
- Les nombreux retours d'expériences de consultants expérimentés permettent d'illustrer les concepts et d'accroître la pertinence des réponses fournies.
- Répartition théorie/pratique : 40% / 60%
- Cette formation se compose d'une alternance d'apports théoriques, de travaux pratiques, de démonstrations, de phases d'échanges entre participants et de synthèses de la part du formateur
- Ressources pédagogiques : un guide d'animation, un ordinateur connecté à Internet par participant, un support de cours en français et un cahier d'ateliers