Rôle de la détection d'intrusion

Terminologie

• Faux-positifs, détection, prévention, etc

Architecture et types d'IDS

Présentation de l'IDS Suricata

Déploiement et configuration de base

Langage d'écriture de règles

Journalisation via Syslog

Travaux pratiques

• Mise en place d'une architecture IDS virtualisée : firewall, cible, attaquant
• Jeu d'attaques et création de règles de détection (scans, bruteforce, exploitation de vulnérabilité)

Présentation du HIDS OSSEC et architecture

Déploiement et configuration de base

Syntaxe d'écriture de règles

Travaux Pratiques

• Écriture de règles

Limites des IDS

Intégration avec les autres composants du SI

Points importants dans le cadre d'un appel d'offre

Défis modernes posés à la supervision classique

• Objectifs d'un SIEM
• Architecture et fonctionnalités
• Syslog et centralisation des journaux
• Synchronisation du temps (NTP)
• Présentation d'ELK
• Configuration avancée de Logstash

Travaux Pratiques

• Configuration d'agents Logstash
• Écritures de Groks avancés
• Environnement hétérogène : Linux, Windows

Visualisation des résultats dans Kibana

Conclusion

• Discussions sur les solutions alternatives
• Préparation des points-clés pour un appel d'offre