Gestion avancée des incidents Windows Enterprise

Ce cours de cinq jours enseigne aux spécialistes de la réponse aux incidents des techniques d’investigation avancées pour les aider à identifier et à cerner les intrusions par des groupes cybercriminels, financiers et politiques. Le cours comprend une série d'exercices pratiques qui permettront aux participants d'explorer les bases de ce qu'ils ont appris et de les approfondir, en appliquant directement des techniques à des scénarios réels.

Les élèves peuvent apprendre à identifier, détecter et rechercher des techniques avancées, à contourner l'obscurcissement par des logiciels malveillants et à appliquer des techniques de traque à grande échelle sur des terminaux traditionnels et sur une infrastructure cloud. Dans ce cours, vous découvrirez des scénarios et techniques d’attaques réelles et historiques, que les équipes de sécurité pourront mettre en œuvre pour réduire les pertes potentielles de l’entreprise lors d’un incident en cours.

Prérequis : les participants doivent posséder d'excellentes connaissances des principes de base des ordinateurs et des systèmes d'exploitation. Il est en outre fortement recommandé d'avoir des bases en programmation informatique et une expérience sur le fonctionnement interne de Windows. Il est également recommandé de suivre les cours Mandiant de réponse aux incidents Windows Enterprise et/ou Linux Enterprise.

• Utiliser le framework ATT&CK pour guider les décisions stratégiques de sécurité de l’entreprise
• Résumer les étapes du processus de gestion des incidents
• Déterminer comment communiquer efficacement les informations sur les incidents à la direction et aux autres
• Démontrer une compréhension des techniques avancées utilisées par les acteurs malveillants
• Présenter des techniques non conventionnelles de déploiement d'implants que nous rencontrons lorsque nous sommes confrontés à des acteurs malveillants APT avancés, mais qui sont rarement exploitées par des groupes moins perfectionnés
• Identifier quand l'obscurcissement est utilisé
• Résumer ce qu'est YARA et comment développer une règle YARA
• Découvrir la structure de la mémoire courante et les méthodes d'attaque de mémoire courantes
• Expliquer les avantages et les inconvénients des différents outils d'analyse
• Fournir un aperçu des sources de preuves disponibles, de la façon de recueillir des preuves, des scénarios d'investigation courants et des outils disponibles pour l'analyse et l'investigation des données
• Insister sur le rythme différent à suivre face à des pirates informatiques réels, et souligner les implications pour l’organisation et la coordination de vos équipes de réponse aux incidents

Il s’agit d’un cours technique au rythme soutenu qui vise à fournir une expérience pratique des investigations d’attaques ciblées et des étapes d’analyse requises pour trier les systèmes compromis. Le contenu et le rythme s'adressent à des participants ayant une certaine expérience des opérations de sécurité, de la réponse aux incidents, de l'analyse forensique, de l'analyse du trafic réseau, de l'analyse des journaux, des évaluations de sécurité et des tests d'intrusion, ou même des tâches d'architecture de sécurité et d'administration système. Il convient également aux personnes qui gèrent des équipes CIRT/de réponse aux incidents ou qui doivent superviser l'analyse forensique et d'autres tâches d'enquête.

Cours en présentiel avec formateur

5 jours (formation en personne)

Un ordinateur connecté à Internet et un navigateur récent (tel que Google Chrome)

MITRE ATT&CK 

• Framework MITRE ATT&CK
• Navigateur ATT&CK

Processus de réponse aux incidents

• Définir la gestion des incidents
• Présentation du processus de réponse aux incidents du NIST
• Préparation
• Détection et analyse
• Confinement, éradication et restauration
• Activités post-incident

Communications et gestion avancée des incidents

• Préparation
• Pendant l'incident
• Activité post-incident
• Conseils et astuces

Techniques avancées

• Détournement de DLL
• Calibrage d'application
• Détournement COM
• Piratage du gestionnaire d'extensions
• Windows Management Instrumentation (WMI)
• Manipulation du journal des événements Windows

Implants avancés

• Modules IIS (Internet Information Services)
• Agents de transport Exchange
• Outils d'accès à distance

Obscurcissement

• Introduction à l'obscurcissement
• Obscurcissement basé sur un script
• Obscurcissement du code
• Contourner l'obscurcissement
• Détection rapide

Détection avec YARA

• Présentation de YARA
• Exécution de YARA
• Syntaxe YARA
• Conditions de la syntaxe YARA
• Création d'une règle
• Modules et concepts supplémentaires
• Notions clés

Analyse de mémoire

• Pourquoi utiliser la mémoire
• Acquisition de la mémoire
• Présentation des structures de mémoire
• Attaque de la mémoire
• Analyser la mémoire avec volatilité

Évolutivité et empilement

• Expérience
• Qu'est-ce que l'empilement ?
• Empiler pour trouver le mal

Présentation de Cloud IR

• Présentation du cloud computing
• AWS 
• Azure
• Google Cloud
• Méthodologie Cloud IR

Attaquant en direct

• Tempo d'investigation
• Confinement, éradication et survie
• Identifiants
• Défense active