M2I FORMATION : 02 - Analyste SOC (Security Operations Center)

Jour 1 - Matin - SOC et métier d’analyste

§ Section 1 - Etat de l’art du Security Operations Center

Définition du SOC

Les avantages, l’évolution du SOC

Les services intégrés au SOC, les données collectées, playbook

Le modèle de gouvernance du SOC (approche SSI, type de SOC, CERT, CSIRT)

PDIS de l’ANSSI (Prestataires de détection d'incidents de sécurité)

Pré requis et rôles d’un analyste SOC (techniques, soft skills, rôles, modèles)

Les référentiels (ATT&CK, DeTT&CT, Sigma, MISP)

Démonstration 1 - utilisation du framework ATT & CK via Navigator (attaque et défense)

Jour 1 - Après-midi (découverte & mise en place du SIEM)

§ Section 2 - Focus sur l'analyste SOC

Quel travail au quotidien

Triage des alertes

Révision et état de sécurité

Identification et rapport

Threat hunting

Démonstration 2- utilisation de l’outil SYSMON

Jour 2 - Matin & après-midi (Threat hunting)

§ Section 3 - Les sources de données à monitorer

Indicateur Windows (processus, firewall, etc.)

Service WEB (serveur, WAF, activité)

IDS/IPS

EDR, XDR

USB

DHCP, DNS

Antivirus, EPP

DLP, whitelist

Email

Exercice 1 / cas d'usage et ligne de défense

Jour 3 - Matin (analyse, Logstash, Elastic search)

§ Section 4 - Tour d’horizon du SIEM

Contexte du SIEM

Solution existante

Principe de fonctionnement d’un SIEM

Les objectifs d'un SIEM

Solution de SIEM

Jour 3 - Après-midi (analyse, Logstash, Elastic search)

§ Section 5 - Présentation de la suite Elastic

Les agents BEATS, sysmon

Découverte de Logstash

Découverte de Elasticsearch

Découverte de Kibana

TP 1 / mise en place d’ELK et première remontée de log

Jour 4 - Matin & après-midi (analyse, Logstash, Elastic search)

§ Section 6 - Logstash (ETL)

Fonctionnement de Logstash

Les fichiers input & output

Enrichissement : Les filtres Groks et sources externes

Jour 5 - Matin (analyse, Logstash, Elastic search)

§ Section 7 - ElasticSearch

Terminologie

Syntax Lucene

Alerte avec ElasticAlert et Sigma

TP 2 / création d’alertes, alarmes

Démonstration 3 / utilisation d’Elastalert et Sigmac

Jour 5 - Après-midi (Kibana)

§ Section 8 - Kibana

Recherche d'événements

Visualisation des données

Démonstration 4  / création d’un filtre sur Kibana

Ajout de règles de détection, IoC

Allez plus loin dans l’architecture ELK avec HELK

Jour 6 - Matin (cyber-entrainement)

§ Section 9 - Mise en situation

À travers des outils ESD Academy, l’analyste SOC est en situation et doit identifier plusieurs scénarios d’attaque lancés par le formateur

TP 3 / Configurer un SIEM et l’exploiter

Jour 6 - Après-midi (cyber-entrainement)

TP 4 / Détecter une cyber attaque simple

Jour 7 matin (cyber-entrainement)

TP 5 / Détecter une cyber complexe (APT MITRE ATTACK)

Jour 7 - Après-midi (rapport)

§ Section 10 - Rapport

L’analyste SOC doit rapporter les attaques détecter et identifier les menaces, impacts, vérifier si son système d’information est touché.

TP 6 / Créer un rapport des attaques interceptées et évaluer l’impact

Jour 8 - Matin (initiation à la gestion des incidents)

§ Section 11 – Réponse à incident

État de l’art de la réponse à incident (CSIRT, CERT, FIRST, CERT-FR)

Les différents métiers du CSIRT

Quelle méthode, quel framework pour un CSIRT

PRIS (Prestataires de réponse aux incidents de sécurité) de l’ANSSI

Communication avec le CSIRT

Alerter le CSIRT lors d’une détection

Comment le CSIRT procède lors d’une crise et une réponse à incident

Jour 8 - Après-midi (Conclusion)

Cas de synthèse

§ Section 12 – conclusion

Échange des différents travaux, rapport des stagiaires lors de la formation

Points positifs, points négatifs

Quelle conclusion pour la méthodologie d’un analyse SOC