Réponse aux incidents Windows Enterprise

Ce cours de 24 heures vise à enseigner les techniques d'investigation de base nécessaires pour faire face aux cybermenaces actuelles. Ce cours rythmé s’appuie sur une série d’ateliers pratiques qui présentent les phases d’une attaque ciblée, les sources de preuves et les principes d’analyse. Voici quelques-unes des compétences enseignées : comment évaluer rapidement un système pour déterminer s’il est compromis, découvrir les preuves des premiers vecteurs d’attaque, reconnaître les mécanismes de persistance et enquêter sur un incident dans l’ensemble d’une entreprise.

Bien que le cours se concentre sur l'analyse des systèmes et des serveurs basés sur Windows, les techniques et les processus d'investigation sont applicables à tous les systèmes et applications. Il comprend des discussions détaillées sur les formes courantes de collecte de preuves forensiques sur les points de terminaison, les réseaux et les fichiers, ainsi que sur leurs limitations, ainsi que sur la manière dont les attaquants se déplacent dans un environnement Windows compromis. Ce cours aborde également la gestion des informations qui enrichit le processus d’investigation et renforce un programme de sécurité d’entreprise. Les sujets de discussion incluent le confinement et la remédiation d’un incident de sécurité, ainsi que le lien entre des actions à court terme et des stratégies à plus long terme qui améliorent la résilience organisationnelle.

À l'issue de ce cours, les participants doivent maîtriser les points suivants :

• Analyser l'évolution du paysage des menaces en identifiant les tendances actuelles et les vecteurs d'attaque courants ciblant les environnements
• Corréler les preuves collectées avec les menaces pertinentes et mapper les résultats aux cadres de réponse aux incidents standards du secteur lors d'une investigation
• Exécuter efficacement les phases clés du processus de réponse en cas d'incident de sécurité
• Identifier les canaux de communication, les responsabilités des équipes et les domaines dans lesquels la visibilité doit être améliorée avant qu'un incident ne se produise
• Implémenter différentes méthodologies de détection, définir la portée exacte des incidents de sécurité et effectuer une analyse d'investigation complète à l'aide des sources de preuves disponibles
• Isoler les systèmes compromis, et concevoir et implémenter des stratégies pour contenir et éradiquer les menaces du réseau d'entreprise
• Formuler des recommandations exploitables basées sur l'analyse post-incident pour améliorer la stratégie de sécurité globale de l'organisation

Membres des équipes de réponse aux incidents, chasseurs de menaces et professionnels de la sécurité des informations. Expérience dans la réalisation d'analyses d'investigation, l'analyse du trafic réseau, l'analyse des journaux, les évaluations de sécurité et les tests d'intrusion, ou l'administration de systèmes et d'architectures de sécurité. Les participants doivent maîtriser le système d'exploitation, le système de fichiers, le registre et l'utilisation de la ligne de commande Windows. Une bonne connaissance d'Active Directory, des contrôles de sécurité Windows de base et des protocoles réseau courants est utile.

Cours en présentiel ou en ligne avec formateur.

• 3 jours (formation en personne)
• 4 jours (formation virtuelle)

Les participants devront disposer d'un ordinateur portable équipé de la dernière version du navigateur de leur choix et capable de se connecter à Internet.