ICDE-AIR : Réponse aux incidents avancée
Pour les professionnels de la cybersécurité qui cherchent à améliorer leurs compétences en matière de réponse aux incidents, couvrant la détection, l’analyse, le reporting et les techniques pratiques.
A propos de cette formation certifiante
La formation Réponse aux incidents vise à valider les compétences des professionnels de la cybersécurité dans la détection, l’analyse et la réponse aux incidents de sécurité dans un environnement opérationnel. Il couvre un large éventail de sujets, notamment la réponse aux incidents de sécurité, la collecte de données, la recherche de menaces (Threat hunting), etc. De plus, la formation équipe les participants des compétences nécessaires pour rédiger des rapports détaillés sur les incidents de sécurité et des recommandations de remédiation.
Il est destiné aux professionnels de la cybersécurité, aux analystes de sécurité, aux ingénieurs en sécurité, aux architectes en sécurité, aux auditeurs de sécurité et aux responsables de la sécurité qui travaillent dans des environnements de sécurité opérationnelle et cherchent à renforcer leurs compétences en matière de réponse aux incidents de sécurité. En obtenant cette certification, les candidats peuvent améliorer leur employabilité et accéder à des opportunités professionnelles plus avancées dans le domaine de la cybersécurité.
Objectifs pédagogiques
- Comprendre les concepts clés de la réponse aux incidents : les participants seront en mesure de comprendre les concepts clés de la réponse aux incidents, notamment les différentes phases de la réponse aux incidents, les rôles et responsabilités de l’équipe de réponse aux incidents, les outils et techniques utilisés dans la réponse aux incidents, et les meilleures pratiques pour mener une enquête de réponse aux incidents efficace.
- Apprendre à planifier et à préparer une réponse aux incidents : les participants seront en mesure de planifier et de préparer une réponse aux incidents en développant des plans d’urgence, en établissant des procédures de communication et de notification, en formant et en éduquant le personnel sur les procédures de réponse aux incidents, et en mettant en place des outils et des technologies pour soutenir la réponse aux incidents.
- Développer des compétences pour détecter et répondre à des incidents de sécurité : les participants apprendront à détecter et à répondre à des incidents de sécurité, y compris la collecte et l’analyse des preuves numériques, la gestion des incidents, l’atténuation des attaques en cours, et la restauration des systèmes affectés.
- Comprendre les meilleures pratiques en matière de réponse aux incidents : les participants seront en mesure de comprendre les meilleures pratiques en matière de réponse aux incidents, notamment les normes de conformité, les réglementations, les lois et les directives, ainsi que les recommandations et les conseils de sécurité actuels.
- Préparer des rapports d’incident efficaces : les participants apprendront à préparer des rapports d’incident clairs et concis, qui incluent des informations sur la nature et l’étendue de l’incident, les mesures prises pour y répondre, et les recommandations pour éviter les incidents similaires à l’avenir.
- Participer à des simulations de réponse aux incidents : les participants auront l’opportunité de participer à des simulations de réponse aux incidents pour mettre en pratique les compétences acquises et les meilleures pratiques de la réponse à incident.
Public
- Analystes de sécurité travaillant dans un Centre Opérationnel de Sécurité (SOC) ou une Équipe d’Intervention en Cas d’Incident de Sécurité (CSIRT).
- Ingénieurs en sécurité concevant, mettant en œuvre et gérant des solutions de sécurité pour les SOC et les CSIRT.
- Architectes en sécurité concevant des architectures de sécurité pour les SOC et les CSIRT.
- Auditeurs de sécurité évaluant l’efficacité des opérations de sécurité dans les SOC et les CSIRT.
- Responsables de la sécurité supervisant les opérations de sécurité dans les SOC et les CSIRT.
Prérequis
- Connaissance pratique des opérations de sécurité, y compris la détection, l’analyse et la réponse aux incidents de sécurité.
- Compréhension de base des concepts de sécurité informatique, tels que la sécurité réseau, la gestion de la sécurité de l’information et les méthodes de test de vulnérabilités.
- Expérience pratique de l’utilisation d’outils de collecte de données de sécurité, tels que les SIEM (Systèmes d’Information et de Gestion des Événements de Sécurité), les outils de collecte de journaux, etc.
- Expérience pratique de la gestion des vulnérabilités et du déploiement de correctifs de sécurité.
Programme de la formation
Section 1 – Introduction
- La menace cyber en 2023 (statistique réponse à incident)
- Les acteurs de la cybercriminalité (APT, cybercrime, hacktivisme, etc.)
- Les différents vecteurs d’attaques
- Mitre ATT&CK
- Les métiers de la cybersécurité en 2023
- Définition de la réponse à incident et l’investigation numérique (CERT, CSIRT, ISAC, CERTFR, FIRST)
- SOC vers le CSIRT (proactive vs réactive)
Section 2 – Méthodologie de la réponse à incident
- Préparation
- Identification
- Confinement
- Éradication
- Restauration
- Enseignement
Section 3 – Cadre légal
- CERT vs CSIRT
- CNIL
- PRIS
- Réseaux FIRST, TI
Section 4 – Microsoft Windows: concepts fondamentaux
- Histoire de Windows
- Architecture (user land, Kernel-land)
- API Windows
- Framework .net
- Processus clés
- Threads
- Virtual Memory
- Service Windows
- VBS
- Base de registre
- Pilote
- WMI
- CERT
- EVT (type, Id)
- Répertoire
- Tâches planifiés
- Credential guard
- Active directory (Architecture, catalog global, GPO, etc.)
- Questionnaire
Section 5 – Tactiques courantes et logiciels malveillants
- Les différentes techniques utilisées (TTPs communes, evasion, anti-vm, signature)
- « Initial access »
- SPF, DMARK
- Attaque par dictionnaire
- Social engineering
- « Execution »
- Procédure courante (.vbs, WSH, PS)
- Répertoires utilisés
- Évasion (Process Hollowing, anti-vm, polymorphisme, etc.)
- « Persistence »
- Tâches planifiées
- .dll injection
- Base de registre
- « Privilege escalation »
- DLL hijacking
- « Credential access »
- NTML hash
- Attaque par dictionnaire
- « Discovery »
- net user, localgroup
- /etc/passwd
- dscacheutil
- Get—aduser
- « Lateral movement »
- RDP, SSH, SCCM, Altiris
- PTH, Golden ticket
- Cookie hijacking
- « Command and control & exfiltration »
- Fast flux, Web service, email
- Cobalt strike, Brute ratel, Sliver
- Services utilisés par les C2 (regsvr32.exe, rundll32.exe, wscript.exe, mshta.exe, cscript.exe, msxsl.exe)
- Détection de logiciels malveillants (automatique, manuelle)
- Sigcheck
- Pestudio
- Lab1 (Analyser une charge)
Section 6 – Artefacts Windows
- Artefact informations systèmes
- Informations systèmes
- Informations réseaux
- Artefact journaux d’événement
- .evtx, .etw ; template, Auditpol Auditpol
- Journaux, EventID, template, Sysmon
- Création de compte
- Connexions et tentatives de bruteforce
- Connexions RDP
- Identifier un Pass the hash
- Identifier un process hollowing
- Identifier tentative d’utilisation de WMI
- Énumération
- Suppression des journaux
- Zircolite
- Lab2 (recherche charges utile)
- Artefact d’exécution
- Prefetch
- Amcache.hve
- Shimcache
- .lnk
- Recents app
- Jump list
- SRUM
- Fichiers récents
- Shellbags
- Background Activity Moderator
- Artefact WEB & Email
- Navigateur (Chrome, Firefox, Edge, etc.)
- .pst
- Artefact exécution de scripts
- Log Powershell
- History
- Wecutil
- Artefact USB
- USBTOR
- Setupapi
- Artefact suppression de fichiers
- $Recycle.Bin
- Snapshot
- Rifiuti2
- Thumbcache
- MFT
- NTFS, Timestamp, MACB
- Résident ou non résident
- ADS
- Powerforensic
- Artefact mouvements latéraux
- PSEXEC
- PTH
- Partage
- Tâches planifiées
- WINRM
- Teamviewer, RDP, VNC
- GPO
- Lab3 (Artefact Windows)
Section 7 – Mémoire vive
- Acquisition des données volatiles
- Physique
- VM
- Acquisition de masse
- Volatility 3
- Profils
- Modules
- Injection processus, code (PE, Shellcode)
- Yara scan
- Swap, Hybernation
- Analyse de la mémoire de masse
- Lab 3 (Analyse de données volatiles)
- Lab 4 (Analyse de données volatiles 2)
Section 8 – Timeline
- Acquisition des données du disque
- Acquisition de masse
- MFT, NTFS, Timestamp, MACB
- DFIR ORC
- Powerforensic
- MFT
- ADS
- Supertimeline
- Fichiers supprimés (thumbcache, thumbs.db)
- Carving
- Lab 4
Section 9—Anti Forensics
- Anti-Forensics/Timestomping
- Utiliser VSS, Prefetch en cas d’anti forensics
Section 10—Gnu/linux
- Live Forensic
- Sources et commandes associées
- Outils (Osquery, Vélociraptor…)
- Prélèvements
- Prérequis
- La mémoire vive
- Prélèvement
- Analyse
- La mémoire de masse
- Prélèvement
- Analyse
- Artefacts
Section 11 – Aller plus loin
- Playbook
- Aller plus loin
- Ressources
- Les auteurs
Programme de la certification
- 4 heures d'examen (en ligne)
- 75 % de réussite pour obtenir la certification
- Certification valide 3 ans
- Mise en situation réelle avec laboratoire, étude de cas et rapport à rédiger
- 90 jours pour passer la certification à la suite de la formation
Démarquez-vous de la foule et faites progresser votre carrière avec ICDE
Renforcez vos équipes, améliorez votre pertinence et assurez votre avenir, le tout en restant en avance dans le monde en constante évolution de la cybersécurité.
Formations connexes
Formations connexes
ICDE-FORENSICSWIN : Investigation numérique Windows
Le cours de formation sur l’Investigation Numérique sous Windows est une...
ICDE-FORENSICSLIN : Investigation numérique Linux
Le cours de formation sur l’Investigation numérique sous Linux est conçu pour les...
ICDE-MALFOUND : Fondamentaux de l’analyse des logiciels malveillants
La formation “Fondamentaux de l’analyse des logiciels malveillants” proposée par