Gestion combinée des incidents Windows-Linux Enterprise

Ce cours intensif vise à enseigner les techniques d’investigation fondamentales pour s’adapter aux modes opératoires actuels des acteurs cyber et des scénarios d’intrusion.

Ce cours s’appuie sur une série d’ateliers pratiques qui mettent en évidence les phases d’une attaque ciblée, les principales sources de preuves, ainsi que le savoir-faire en analyse forensique pour les analyser. Les étudiants apprendront à effectuer une évaluation rapide sur un système afin de déterminer s’il est compromis, à découvrir des preuves des vecteurs d’attaque initiaux, à reconnaître les mécanismes de persistance, à développer des indicateurs de compromission pour approfondir un incident, etc.

À l'issue de ce cours, les participants doivent maîtriser les points suivants :

• Décrire le processus de réponse aux incidents, y compris le paysage des menaces, le cycle de vie des attaques ciblées, les vecteurs d’attaque initiaux utilisés par les différents acteurs cyber, ainsi que les phases d’un processus de réponse aux incidents
• Évaluer les systèmes pour répondre aux questions clés sur ce qui s’est passé dans l’entreprise lors d’un incident
• Appliquer les enseignements tirés pour analyser de manière proactive un environnement Windows (y compris les métadonnées, le registre, les journaux d’événements, les services, les mécanismes de persistance et les artefacts d’exécution) à la recherche de signes de compromission
• Identifier et utiliser les sources de preuves critiques pour examiner et analyser un système Linux compromis, dont les systèmes de fichiers EXT3/EXT4, le journal syslog, les journaux d’audit, la mémoire, les VPN et les shells Web
• Auditer les bases de données et les serveurs Web des applications Linux courantes, y compris Oracle, MySQL, PostgreSQL, Apache et nginx
• Savoir comment les attaquants exploitent les données pour passer d’un système à un autre dans un environnement Linux compromis, ces données regroupant les identifiants, les ouvertures de session, l’exécution de commandes à distance et les artefacts shell
• Analyser les journaux Web pour identifier et interpréter les techniques courantes des pirates informatiques, y compris les méthodes d'obscurcissement et d'encodage
• Gérer et enregistrer efficacement les informations liées aux enquêtes et incidents en cours
• Comprendre le rôle de la phase de remédiation dans une investigation d’entreprise
• Améliorer la visibilité de la journalisation, empêcher la falsification des preuves et réduire la surface d'attaque en identifiant les paramètres de configuration courants et les événements consignés, qui vont contribuer à une phase d'examen efficace
• Se familiariser avec les renseignements sur les menaces, la détection d'anomalies et les modes opératoires connus des attaquants pour traquer les menaces

Ce cours s'adresse aux étudiants ayant une certaine expérience dans la gestion d'opérations de sécurité, la réponse aux incidents, l'analyse forensique, l'analyse du trafic réseau, l'analyse des journaux, les évaluations de sécurité et les tests d'intrusion, ou les tâches d'architecture de sécurité et d'administration système. Il convient également aux personnes qui gèrent des équipes CIRT/de réponse aux incidents ou qui doivent superviser l'analyse forensique et d'autres tâches d'enquête.

En présentiel

5 jours (formation en personne)

Les participants doivent apporter leur propre ordinateur portable, qui répond aux caractéristiques suivantes :

• Ordinateur portable avec VMware installé (le lecteur VMware répond aux exigences)
• Spécifications : Windows 7 et versions ultérieures, ou MacOS 10.11 et versions ultérieures
• 16 Go de mémoire
• Processeur Core i7+
• Au moins 25 Go d'espace HDD disponible