ICDE-FORENSICSWIN : Investigation numérique Windows

Pour les passionnés de sécurité informatique et d’investigation numérique, ce cours comprend des sujets tels que la détection d’intrusion, l’analyse de données et des exercices pratiques.

A propos de cette formation certifiante

La formation sur l’Investigation numérique sous Windows est une formation pratique destinée aux professionnels de la sécurité informatique cherchant à acquérir des compétences en investigation numérique dans l’environnement Windows, ainsi qu’aux professionnels souhaitant ajouter des compétences en investigation numérique à leur profil de compétences existant. La formation couvre un large éventail de sujets, notamment les normes et méthodologies de l’investigation numérique, les concepts fondamentaux de Windows, les techniques de prévention et de détection des intrusions, l’analyse des artefacts système et la génération et l’analyse des chronologies.
Les participants apprendront les méthodes de prévention et de détection des intrusions, la collecte et l’analyse de données, l’utilisation d’outils d’investigation numérique et la rédaction de rapports d’incident détaillés. La formation comprend également des travaux pratiques pour permettre aux participants de mettre en pratique les compétences acquises et de se familiariser avec les outils utilisés dans des situations réelles.

Objectifs pédagogiques

  • Comprendre les normes et méthodologies d’investigation numérique pour l’environnement Windows.
  • Maîtriser les concepts fondamentaux de Windows pour pouvoir collecter et analyser des données numériques.
  • Être capable de prévenir et de détecter les intrusions dans l’environnement Windows.
  • Savoir analyser les artefacts de système pour identifier les preuves numériques lors d’une investigation.
  • Être capable de générer et d’analyser une chronologie des événements lors d’une investigation numérique.
  • Connaître les outils d’investigation numérique disponibles pour l’environnement Windows.
  • Être capable de collecter et d’analyser des données numériques lors d’une investigation.
  • Savoir générer des rapports détaillés sur les incidents.
  • Mettre en pratique les compétences acquises lors de travaux pratiques.
  • Se familiariser avec les outils utilisés en situation réelle.

Public

  • Analystes de sécurité travaillant dans un–Centre Opérationnel de Sécurité (SOC) ou une Équipe d’Intervention en Cas d’Incident de Sécurité (CSIRT).
  • Ingénieurs en sécurité concevant, mettant en œuvre et gérant des solutions de sécurité pour les SOC et les CSIRT.
  • Architectes en sécurité concevant des architectures de sécurité pour les SOC et les CSIRT.
  • Auditeurs de sécurité évaluant l’efficacité des opérations de sécurité dans les SOC et les CSIRT.
  • Enquêteurs numériques travaillant sur des enquêtes impliquant des systèmes Windows et cherchant à renforcer leurs compétences en analyse numérique.
  • Avocats travaillant sur des affaires légales impliquant des preuves numériques provenant de systèmes Windows.
  • Forces de l’ordre travaillant sur des enquêtes criminelles impliquant des systèmes Windows.

Prérequis

  • Connaissance pratique des opérations de sécurité, y compris la détection, l’analyse et la réponse aux incidents de sécurité.
  • Compréhension de base des concepts de sécurité informatique, tels que la sécurité réseau, la gestion de la sécurité de l’information et les méthodes de test de vulnérabilités.
  • Expérience pratique de l’utilisation d’outils de collecte de données de sécurité, tels que les SIEM (Systèmes d’Information et de Gestion des Événements de Sécurité), les outils de collecte de journaux, etc.
  • Expérience pratique de l’analyse numérique forensique sur les systèmes Windows, y compris la récupération de preuves numériques, l’analyse de données et la validation de l’intégrité des données.

Programme de la formation

Jour 1 matin

Section 1 – État de l’art de l’investigation numérique

  • Introduction à l’investigation numérique
  • Vocabulaire
  • Les différentes disciplines
  • Indicateur de compromission
  • Méthodologie d’investigation
  • ATT&CK et Arbres d’attaque
Jour 1 après-midi

Section 2 – Les fondamentaux Windows et Collecte des données

  • Fondamentaux Windows
  • Structure des répertoires
  • Séquence de boot
  • Bases de Registres
  • Logs et événements
  • Services
  • Volume Shadow Copy Service
  • Généralités sur les disques durs
  • Fondamentaux NTFS
  • Analyse live
  • Analyse offline : imaging
  • Analyse offline : collecte
  • Les outils d’analyse
Jour 2 matin

Section 3 – Artefacts

  • Différents artefacts internet
  • Pièces jointes
  • Open/Save MRU
  • Flux ADS Zone.Identifier
  • Téléchargements
  • Historique Skype
  • Navigateurs internet
  • Historique
  • Cache
  • Sessions restaurées
  • Cookies
  • Différents artefacts exécution
  • UserAssist
  • Timeline Windows 10
  • RecentApps
  • Shim cache
  • Jump list
  • Amcache.hve
  • BAM/DAM
  • Last-Visited MRU
  • Prefetch
Jour 2 après-midi
  • Différents artefacts fichiers/dossiers
  • Shellbags
  • Fichiers récents
  • Raccourcis (LNK)
  • Documents Office
  • IE/Edge Files
  • Différents artefacts réseau
  • Termes recherchés sur navigateur
  • Cookie
  • Historique
  • SRUM (ressource usage monitor)
  • Log wifi
  • Différents artefacts comptes utilisateur
  • Dernières connexions
  • Changement de mot de passe
  • Echec/Réussite d’authentification
  •  Événement de service (démarrage)
  •  Événement d’authentification
  • Type d’authentification
  • Utilisation du RDP
  • Différents artefacts USB
  • Nomination des volumes
  • Evénement PnP (Plug & Play)
  • Numéros de série
  • Différents artefacts fichiers supprimés tools
  • Récupération de la corbeille
  • Thumbcache
  • Thumb.db
  • WordWheelQuery
  • Spécificités Active Directory
  • TP 3 / Première investigation
  • TP 4 / Deuxième investigation
Jour 3 matin

Section 4 – Analyse mémoire et Anti Forensic

  • Acquisition
  • Volatility
  • TP 5 / Investigation mémoire
  • Principes d’Anti Forensic
  • Techniques d’Anti Forensic
Jour 3 après-midi
  • Tools pour Anti Forensic
  • TP6 / Anti Forensic

Programme de la certification

  • 2 heures d'examen (en ligne)
  • 75 % de réussite pour obtenir la certification
  • Certification valide 3 ans
  • QCM de 50 questions
  • 90 jours pour passer la certification à la suite de la formation
Windows Forensics
Réservez maintenant
Contactez-nous

Détails

  • Durée de la formation : 3 jours
  • Certification : ICDE-FORENSICSWIN

Démarquez-vous de la foule et faites progresser votre carrière avec ICDE

Renforcez vos équipes, améliorez votre pertinence et assurez votre avenir, le tout en restant en avance dans le monde en constante évolution de la cybersécurité.

Réservez maintenant

Formations connexes​

ICDE-FORENSICSLIN : Investigation numérique Linux

Le cours de formation sur l’Investigation numérique sous Linux est conçu pour les...

En savoir plus

ICDE-AIR : Réponse aux incidents avancée

Le cours de formation Réponse aux incidents vise à valider les compétences...

En savoir plus

ICDE-MALFOUND : Fondamentaux de l’analyse des logiciels malveillants

La formation “Fondamentaux de l’analyse des logiciels malveillants” proposée par

En savoir plus
Retour en haut