Gestion des incidents Windows Enterprise

Ce cours est conçu pour enseigner les techniques d'investigation de base nécessaires pour faire face aux cybermenaces d'aujourd'hui. Ce cours rythmé s’appuie sur une série d’ateliers pratiques qui présentent les phases d’une attaque ciblée, les sources de preuves et les principes d’analyse. Voici quelques-unes des compétences enseignées : comment évaluer rapidement un système pour déterminer s’il est compromis, découvrir les preuves des premiers vecteurs d’attaque, reconnaître les mécanismes de persistance et enquêter sur un incident dans l’ensemble d’une entreprise.

Bien que le cours se concentre sur l'analyse des systèmes et des serveurs basés sur Windows, les techniques et les processus d'investigation sont applicables à tous les systèmes et applications. Il comprend des discussions détaillées sur les formes courantes de collecte de preuves forensiques sur les points de terminaison, les réseaux et les fichiers, ainsi que sur leurs limitations, ainsi que sur la manière dont les attaquants se déplacent dans un environnement Windows compromis. Ce cours aborde également la gestion des informations qui enrichit le processus d’investigation et renforce un programme de sécurité d’entreprise. Les sujets de discussion incluent le confinement et la remédiation d’un incident de sécurité, ainsi que le lien entre des actions à court terme et des stratégies à plus long terme qui améliorent la résilience organisationnelle.

Prérequis : expérience dans la réalisation d'analyses forensiques, l'analyse du trafic réseau, l'analyse des journaux, les évaluations de sécurité et les tests d'intrusion, ou l'administration de systèmes et d'architectures de sécurité. Les participants doivent maîtriser le système d'exploitation, le système de fichiers, le registre et l'utilisation de la ligne de commande de Windows. Une bonne connaissance d'Active Directory, des contrôles de sécurité Windows de base et des protocoles réseau courants est utile.

À l'issue de ce cours, les participants doivent maîtriser les points suivants :

• Décrire le processus de réponse aux incidents, y compris le paysage des menaces, le cycle de vie des attaques ciblées, les vecteurs d’attaque initiaux utilisés par les différents acteurs cyber, ainsi que les phases d’un processus efficace de réponse aux incidents
• Évaluer les systèmes pour répondre aux questions clés sur ce qui s’est passé dans l’entreprise lors d’un incident
• Appliquer les enseignements tirés pour analyser de manière proactive un environnement entier (y compris les métadonnées, le registre, les journaux d’événements, les services, les mécanismes de persistance et les artefacts d’exécution) à grande échelle afin d’identifier des signes de compromission
• Gérer et enregistrer efficacement les informations liées aux enquêtes et incidents en cours
• Comprendre le rôle de la phase de remédiation dans une investigation d’entreprise
• Se familiariser avec les renseignements sur les menaces, la détection d'anomalies et les modes opératoires connus des attaquants pour traquer les menaces

Membres des équipes de réponse aux incidents, chasseurs de menaces et professionnels de la sécurité des informations.

Cours en présentiel ou en ligne avec formateur.

• 3 jours (formation en personne)
• 4 jours (formation virtuelle)

Les participants doivent apporter leur propre ordinateur portable, qui répond aux caractéristiques suivantes :

• Windows 7+
• Core i5 ou équivalent
• 6 Go (de préférence 8 Go) de RAM
• 25 Go d'espace HDD libre
• Les machines virtuelles sont acceptables à condition qu'au moins 4 Go de RAM puissent être alloués
• Microsoft Office installé en dehors de la VM
• Accès au système avec les droits d'administrateur/d'installation

Les participants recevront un livret de l'atelier et une clé USB contenant tous les supports et outils nécessaires pour le cours.