Gestion des incidents Linux Enterprise

L’objectif de ce cours est de présenter les techniques d’investigation incontournables permettant de répondre aux auteurs actuels de menaces sophistiquées, et d'identifier leurs méthodes d’intrusion. Ce cours comprend une série d’ateliers pratiques décrivant toutes les phases du cycle de vie d’une attaque ciblée, les sources stratégiques de preuves à l'encontre des pirates informatiques, et les analyses forensiques requises pour mener un processus d'investigation efficace. Les participants vont apprendre à effectuer un tri rapide pour identifier la compromission d’un système, à découvrir les preuves des vecteurs d’attaque initiaux, à reconnaître les mécanismes de persistance et à développer des indicateurs de compromission (IOC) pour cerner encore plus précisément la portée d’un incident.

À l'issue de ce cours, les participants doivent maîtriser les points suivants :

• Comprendre les étapes d’un processus efficace de réponse aux incidents, comprenant la préparation, la détection et l’analyse, et les actions correctives
• Reconnaître les formes courantes, les avantages et les limites de la collecte de preuves forensiques sur les terminaux, y compris la création de copies judiciaires et l’acquisition de réponses en direct
• Identifier et utiliser les sources de preuves critiques pour examiner et analyser un système Linux compromis, dont les systèmes de fichiers EXT3/EXT4, le journal syslog, les journaux d’audit, la mémoire, les VPN et les shells Web
• Auditer les bases de données et les serveurs Web des applications Linux courantes, y compris Oracle, MySQL, PostgreSQL, Apache et nginx
• Savoir comment les attaquants exploitent les données pour passer d’un système à un autre dans un environnement Linux compromis, ces données regroupant les identifiants, les ouvertures de session, l’exécution de commandes à distance et les artefacts shell
• Examiner un environnement complet à grande échelle, afin d'identifier des éléments révélateurs d'une compromission, grâce à la traque proactive
• Analyser les journaux Web pour identifier et interpréter les techniques courantes des pirates informatiques, y compris les méthodes d'obscurcissement et d'encodage
• Améliorer la visibilité de la journalisation, empêcher la falsification des preuves et réduire la surface d'attaque en identifiant les paramètres de configuration courants et les événements consignés, qui vont contribuer à une phase d'examen efficace

Les administrateurs système Linux, les spécialistes de la réponse aux incidents, les spécialistes de la recherche de menaces et les analystes des centres des opérations de sécurité (SOC), qui doivent connaître le processus à appliquer pour apporter une réponse de qualité professionnelle aux incidents sur les systèmes Linux.

Cours en classe ou en ligne avec formateur

• 3 jours (formation en personne)
• 4 jours (formation virtuelle)

Les participants doivent apporter leur propre ordinateur portable, qui réponde aux caractéristiques suivantes :

• Windows 7 et versions ultérieures, ou MacOS 10.11 et versions ultérieures
• VMware ou VirtualBox installé sur un système doté de 2 Go de mémoire, avec 2 cœurs de processeur dédiés à la VM (un logiciel hyperviseur sera fourni aux participants sur support amovible USB)
• 50 Go d'espace disque disponible, réservés pour la VM
• Microsoft Office installé (recommandé)
• Accès au système avec les droits d'administrateur/d'installation
• Connectivité sans fil (recommandée)