> Formations > Technologies numériques > Cybersécurité > Détection d'incidents, pentests, forensic > Formation Détection d’intrusion et SOC > Formations > Technologies numériques > Formation Détection d’intrusion et SOC
Formation référencée dans le catalogue Clé en main d’un OPCO

Formation : Détection d’intrusion et SOC

Détection d’intrusion et SOC

Télécharger le programme Partager cette formation


Ce cours très pratique présente les techniques d'attaque les plus évoluées à ce jour et montre comment les détecter. A partir d'attaques réalisées sur des cibles identifiées (serveurs Web, clients, réseaux, firewall, bases de données...), vous apprendrez à déclencher la riposte la plus adaptée. Vous apprendrez également le concept de SOC ainsi que l’ensemble des outils nécessaires en tant qu’analyste SOC.


Inter
Intra
Sur mesure

Cours pratique en présentiel ou en classe à distance

Réf. TRU
Prix : 2920 € H.T.
  4j - 28h00
Pauses-café et
déjeuners offerts
Financements




Ce cours très pratique présente les techniques d'attaque les plus évoluées à ce jour et montre comment les détecter. A partir d'attaques réalisées sur des cibles identifiées (serveurs Web, clients, réseaux, firewall, bases de données...), vous apprendrez à déclencher la riposte la plus adaptée. Vous apprendrez également le concept de SOC ainsi que l’ensemble des outils nécessaires en tant qu’analyste SOC.

Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
  • Identifier et comprendre les techniques d'analyse et de détection
  • Acquérir les connaissances pour déployer différents outils de détection d'intrusion
  • Mettre en œuvre les solutions de prévention et de détection d'intrusions
  • Comprendre les concepts et l’environnement d’un SOC
  • Savoir utiliser les outils d’analyse

Public concerné
Techniciens et administrateurs systèmes et réseaux.

Prérequis
Bonnes connaissances en réseaux et sécurité. Connaître le guide d’hygiène sécurité de l’ANSSI. Avoir suivi le parcours introductif à la cybersécurité.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisant  ce test.

Programme de la formation

Bien comprendre les protocoles réseaux

  • D’autres aspects des protocoles IP, TCP et UDP.
  • Zoom sur ARP et ICMP.
  • Le routage forcé de paquets IP (source routing).
  • La fragmentation IP et les règles de réassemblage.
  • De l'utilité d'un filtrage sérieux.
  • Sécuriser ses serveurs : un impératif.
  • Les parades par technologies : du routeur filtrant au firewall stateful inspection ; du proxy au reverse proxy.
  • Panorama rapide des solutions et des produits.
Travaux pratiques
Visualisation et analyse d'un trafic classique. Utilisation de différents sniffers.

Les attaques sur TCP/IP

  • Comment les pirates informatique mettent en œuvre le "Spoofing" IP.
  • Réaliser des attaques par déni de service.
  • La technique de la prédiction des numéros de séquence TCP.
  • Vol de session TCP : Hijacking (Hunt, Juggernaut).
  • Comprendre comment les pirates arrivent à réaliser des attaques sur SNMP.
  • Attaque par TCP Spoofing (Mitnick) : démystification.
Travaux pratiques
Injection de paquets fabriqués sur le réseau. Utilisation au choix des participants d'outils graphiques, de Perl, de C ou de scripts dédiés.

Intelligence Gathering

  • Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche.
  • Apprendre les techniques pour mettre en place l'identification des serveurs.
  • Comprendre le contexte : analyser les résultats, déterminer les règles de filtrage, cas spécifiques.
Travaux pratiques
Recherche par techniques non intrusives d'informations sur une cible potentielle (au choix des participants). Utilisation d'outils de scans de réseaux.

Détecter les trojans et les backdoors

  • Etat de l'art des backdoors sous Windows et Unix. Qu'est ce un backdoor ?
  • Comment mettre en place des backdoors et des trojans.
  • Le téléchargement de scripts sur les clients, exploitation de bugs des navigateurs.
  • Les "Covert Channels" : application client-serveur utilisant ICMP.
  • Exemple de communication avec les Agents de Déni de Service distribués.
Travaux pratiques
Analyse de Loki, client-serveur utilisant ICMP. Accéder à des informations privées avec son navigateur.

Attaques et exploitation des failles

  • Prise de contrôle d'un serveur : recherche et exploitation de vulnérabilités.
  • Exemples de mise en place de "backdoors" et suppression des traces.
  • Comment contourner un firewall (netcat et rebonds) ?
  • Les techniques pour effectuer la recherche du déni de service.
  • Qu'est ce que le déni de service distribué (DDoS)? Comment les pirates s'organisent pour effectuer une telle attaque ?
  • Les attaques par débordement (buffer overflow).
  • Exploitation de failles dans le code source. Techniques similaires : "Format String", "Heap Overflow".
  • Quelles sont les vulnérabilités dans les applications Web ? Comment les détecter et se protéger ?
  • Comment les personnes malveillantes arrivent à voler les informations dans une base de données.
  • Qu'est ce que sont les RootKits.
Travaux pratiques
Exploitation du bug utilisé par le ver "Code Red". Obtention d'un shell root par différents types de buffer overflow. Test d'un déni de service (Jolt2, Ssping). Utilisation de netcat pour contourner un firewall. Utilisation des techniques de "SQL Injection" pour casser une authentification Web.

Le SOC (Security Operation Center)

  • Qu’est-ce qu’un SOC ?
  • A quoi sert-il ? Pourquoi de plus en plus d'entreprises l'utilisent ?
  • Les fonctions du SOC : Logging, Monitoring, Reporting audit et sécurité, analyses post incidents.
  • Les bénéfices d’un SOC.
  • Les solutions pour un SOC.
  • Le SIM (Security Information Management).
  • Le SIEM (Security Information and Event Management).
  • Le SEM (Security Event Management).
  • Exemple d’une stratégie de monitoring.

Le métier de l’analyste SOC

  • En quoi consiste le métier de l’analyste SOC ?
  • Quelles sont ses compétences ?
  • Monitorer et trier les alertes et les événements.
  • Savoir prioriser les alertes.

Comment gérer un incident ?

  • Les signes d'une intrusion réussie dans un SI.
  • Qu'ont obtenu les hackers ? Jusqu'où sont-ils allés ?
  • Comment réagir face à une intrusion réussie ?
  • Quels serveurs sont concernés ?
  • Savoir retrouver le point d'entrée et le combler.
  • La boîte à outils Unix/Windows pour la recherche de preuves.
  • Nettoyage et remise en production de serveurs compromis.


Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.

Solutions de financement
Pour trouver la meilleure solution de financement adaptée à votre situation : contactez votre conseiller formation.
Il vous aidera à choisir parmi les solutions suivantes :
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • France Travail sous réserve de l’acceptation de votre dossier par votre conseiller France Travail.
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • France Travail sous réserve de l’acceptation de votre dossier par votre conseiller France Travail.

Financement par les actions collectives ou clé en main
Jusqu’à 100% de prise en charge des frais pédagogiques de la formation dans la cadre des actions collectives ou des tarifs négociés avec les actions « clé en main » mises en place par les OPCO. Cliquez sur l’OPCO pour découvrir les modalités financières associées

Avis clients
4,8 / 5
Les avis clients sont issus des évaluations de fin de formation. La note est calculée à partir de l’ensemble des évaluations datant de moins de 12 mois. Seules celles avec un commentaire textuel sont affichées.
CHRISTOPHE C.
22/10/24
5 / 5

Véritable qualité dans les supports de TD. Environnements très bien préparés. Merci!
KÉVIN G.
22/10/24
5 / 5

excellente formation, formateur pédagogue, compétent et impliqué
SNOECK DAVID D.
22/10/24
4 / 5

Enfin, une formation cybersécu d’Orsys où les exercices sont préparés à l’avance et où nous ne perdons pas de temps à préparer les environnements.En revanche, le support papier est un vrai plus si l’impression correspond à la dernière version du formateur.




Horaires
En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts.
En classe à distance, la formation démarre à partir de 9h.
Pour les stages pratiques de 4 ou 5 jours, quelle que soit la modalité, les sessions se terminent à 16h le dernier jour.

Dates et lieux
Sélectionnez votre lieu ou optez pour la classe à distance puis choisissez votre date.
Classe à distance