Aller au contenu principal
Afficher le fil d'ariane

M2I FORMATION : 02 - Analyste SOC (Security Operations Center)

Organisme

M2I FORMATION
146-148 RUE DE PICPUS
75012 PARIS
Voir toutes ses formationsAutres organismes proposant cette formation

Durée

56 heures

Modalités

Formation

  • Classe virtuelle
  • Présentiel

Évaluation

Modalités d’évaluation des acquis - En cours de formation, par des études de cas ou des travaux pratiques - Et, en fin de formation, par un questionnaire / cas de synthèse

Prix

Inter
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
2240€ HT / personne
Intra
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
10240€ HT / groupe
4 stagiaires minimum

Public

Techniciens et administrateurs Systèmes et Réseaux, responsables informatiques, consultants en sécurité, ingénieurs, responsables techniques, architectes réseaux, chefs de projets…

Pré-requis

- Connaître le guide sécurité de l’ANSSI

- Avoir des connaissances en réseau

- Avoir suivi le parcours introductif à la cybersécurité ou posséder des connaissances équivalentes.

Objectifs pédagogiques

- Connaître l’organisation d’un SOC

- Comprendre le métier d’analyste SOC

- Appréhender les outils utilisés par les analystes SOC

- Identifier les principales problématiques à travers des cas d’usage

- Apprendre à détecter des intrusions

- Savoir gérer différents incidents

- Optimiser la sécurité d’un système d’information

Programme détaillé

Jour 1 - Matin - SOC et métier d’analyste

§ Section 1 - Etat de l’art du Security Operations Center

Définition du SOC

Les avantages, l’évolution du SOC

Les services intégrés au SOC, les données collectées, playbook

Le modèle de gouvernance du SOC (approche SSI, type de SOC, CERT, CSIRT)

PDIS de l’ANSSI (Prestataires de détection d'incidents de sécurité)

Pré requis et rôles d’un analyste SOC (techniques, soft skills, rôles, modèles)

Les référentiels (ATT&CK, DeTT&CT, Sigma, MISP)

Démonstration 1 - utilisation du framework ATT & CK via Navigator (attaque et défense)

 

Jour 1 - Après-midi (découverte & mise en place du SIEM)

§ Section 2 - Focus sur l'analyste SOC

Quel travail au quotidien

Triage des alertes

Révision et état de sécurité

Identification et rapport

Threat hunting

Démonstration 2- utilisation de l’outil SYSMON

 

Jour 2 - Matin & après-midi (Threat hunting)

§ Section 3 - Les sources de données à monitorer

Indicateur Windows (processus, firewall, etc.)

Service WEB (serveur, WAF, activité)

IDS/IPS

EDR, XDR

USB

DHCP, DNS

Antivirus, EPP

DLP, whitelist

Email

Exercice 1 / cas d'usage et ligne de défense

 

Jour 3 - Matin (analyse, Logstash, Elastic search)

§ Section 4 - Tour d’horizon du SIEM

Contexte du SIEM

Solution existante

Principe de fonctionnement d’un SIEM

Les objectifs d'un SIEM

Solution de SIEM

 

Jour 3 - Après-midi (analyse, Logstash, Elastic search)

§ Section 5 - Présentation de la suite Elastic

Les agents BEATS, sysmon

Découverte de Logstash

Découverte de Elasticsearch

Découverte de Kibana

TP 1 / mise en place d’ELK et première remontée de log

 

Jour 4 - Matin & après-midi (analyse, Logstash, Elastic search)

§ Section 6 - Logstash (ETL)

Fonctionnement de Logstash

Les fichiers input & output

Enrichissement : Les filtres Groks et sources externes

 

Jour 5 - Matin (analyse, Logstash, Elastic search)

§ Section 7 - ElasticSearch

Terminologie

Syntax Lucene

Alerte avec ElasticAlert et Sigma

TP 2 / création d’alertes, alarmes

Démonstration 3 / utilisation d’Elastalert et Sigmac

 

Jour 5 - Après-midi (Kibana)

§ Section 8 - Kibana

Recherche d'événements

Visualisation des données

Démonstration 4  / création d’un filtre sur Kibana

Ajout de règles de détection, IoC

Allez plus loin dans l’architecture ELK avec HELK

 

Jour 6 - Matin (cyber-entrainement)

§ Section 9 - Mise en situation

À travers des outils ESD Academy, l’analyste SOC est en situation et doit identifier plusieurs scénarios d’attaque lancés par le formateur

TP 3 / Configurer un SIEM et l’exploiter

 

Jour 6 - Après-midi (cyber-entrainement)

TP 4 / Détecter une cyber attaque simple

 

Jour 7 matin (cyber-entrainement)

TP 5 / Détecter une cyber complexe (APT MITRE ATTACK)

 

Jour 7 - Après-midi (rapport)

§ Section 10 - Rapport

L’analyste SOC doit rapporter les attaques détecter et identifier les menaces, impacts, vérifier si son système d’information est touché.

TP 6 / Créer un rapport des attaques interceptées et évaluer l’impact

 

Jour 8 - Matin (initiation à la gestion des incidents)

§ Section 11 – Réponse à incident

État de l’art de la réponse à incident (CSIRT, CERT, FIRST, CERT-FR)

Les différents métiers du CSIRT

Quelle méthode, quel framework pour un CSIRT

PRIS (Prestataires de réponse aux incidents de sécurité) de l’ANSSI

Communication avec le CSIRT

Alerter le CSIRT lors d’une détection

Comment le CSIRT procède lors d’une crise et une réponse à incident

 

Jour 8 - Après-midi (Conclusion)

Cas de synthèse

§ Section 12 – conclusion

Échange des différents travaux, rapport des stagiaires lors de la formation

Points positifs, points négatifs

Quelle conclusion pour la méthodologie d’un analyse SOC

Sessions

Filtrer les résultats

62 résultats

Modalités pédagogiques
Formation synchrone se déroulant avec la présence physique du (des) formateur(s) et du (des) apprenant(s) réunis dans un même lieu de formation.
Formation combinant des séquences en présentiel et des séquences à distance synchrones ou asynchrones.
Formation à distance, asynchrone, s’appuyant sur une plateforme d’apprentissage, pouvant être complétée par d’autres modalités de formation à distance (visio-conférence…)
Formation à distance, synchrone, s’appuyant sur un dispositif de visio-conférence. La classe virtuelle recrée à distance les conditions d’une formation en salle traditionnelle.
Type de formation
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
Options
Ces sessions ne peuvent être ni annulées ni reportées par l’organisme de formation.

0 résultat