ORSYS : 02 - Analyste SOC (Security Operations Center)

A l’issue de la formation, l’apprenant sera capable d’assurer les fonctions d’analyste d’un Security Operations Center (SOC), principalement la détection et l’analyse des intrusions, l’anticipation et la mise en place des protections nécessaires.

Pratique pédagogique : Travaux pratiques

Nombreux travaux pratiques sur la mise en place et l’utilisation des outils de l’analyste SOC, la détection d’intrusion, les problématiques les plus courantes, l’analyse post-incident.

1.      Connaître l’organisation d’un SOC

2.      Comprendre le métier d’analyste SOC

3.      Appréhender les outils utilisés par les analystes SOC

4.      Identifier les principales problématiques à travers des cas d’usage

5.      Apprendre à détecter des intrusions

6.      Savoir gérer différents incidents

7.      Optimiser la sécurité d’un système d’information

Participants

Techniciens et administrateurs systèmes et réseaux, responsables informatiques, consultants en sécurité, ingénieurs, responsables techniques, architectes réseaux, chefs de projets…

Prérequis

Connaître le guide sécurité de l’ANSSI, avoir des connaissances en réseau, avoir suivi le parcours introductif à la cybersécurité ou posséder des connaissances équivalentes.

Composition du parcours :

Analyste SOC, le métier - Réf. ASH - 2 jours

Incidents de sécurité, collecte et analyse de log - Réf. LCA - 3 jours

Analyse Forensic, les bases - Réf. AFB - 3 jours

Programme :

 1. Le SOC (Security Operation Center)

- Qu’est-ce qu’un SOC ?- A quoi sert-il ? Pourquoi de plus en plus d'entreprises l'utilisent ?- Les fonctions du SOC : Logging, Monitoring, Reporting audit et sécurité, analyses post incidents.- Les bénéfices d’un SOC.- Les solutions pour un SOC.- Le SIM (Security Information Management).- Le SIEM (Security Information and Event Management).- Le SEM (Security Event Management).- Exemple d’une stratégie de monitoring.  

 2. Le métier de l’analyste SOC

- En quoi consiste le métier de l’analyste SOC ?- Quelles sont ses compétences ?- Monitorer et trier les alertes et les événements.- Savoir prioriser les alertes.  

 3. La collecte des informations

- L'hétérogénéité des sources. Qu'est-ce qu'un événement de sécurité ?- Le Security Event Information Management (SIEM). Les événements collectés du SI.- Les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.).- La collecte passive en mode écoute et la collecte active.  

 4. Optimiser la sécurité du SI : outils, bonnes pratiques, pièges à éviter

- Panorama des solutions et des produits.- Syslog.- Le programme SEC.- Le logiciel Splunk.- La législation française.  

 5. La détection d’intrusion, principales problématiques

- Bien comprendre les protocoles réseaux (TCP, UDP, ARP, ICMP, routeurs, firewall, proxy… ).- Les attaques sur TCP/IP (spoofing, déni de service, vol de session, attaque SNMP… ).- Intelligence Gathering, recherche de traces, scans de réseaux.- Les trojans, les backdoors, bugs des navigateurs, les « Covert Channels », les agents de déni de service distribués...- Attaques et exploitation des failles (prise de contrôle, DDoS, buffer overflow, RootKits... ).  

6. Comment gérer un incident ?

- Les signes d'une intrusion réussie dans un SI.- Qu'ont obtenu les hackers ? Jusqu'où sont-ils allés ?- Comment réagir face à une intrusion réussie ?- Quels serveurs sont concernés ?- Savoir retrouver le point d'entrée et le combler.- La boîte à outils Unix/Windows pour la recherche de preuves.- Nettoyage et remise en production de serveurs compromis.  

 7. Analyser les incidents pour mieux se protéger : l’analyse forensic

- Informatique judiciaire : types de crimes informatiques, rôle de l’enquêteur informatique.- La cybercriminalité moderne.- La preuve numérique.  

 8. Analyse forensic d’un système d’exploitation Windows

- Acquisition, analyse et réponse.- Compréhension des processus de démarrage.- Collecter les données volatiles et non volatiles.- Fonctionnement du système de mot de passe, du registre Windows.- Analyse des données contenues dans la mémoire vive, des fichiers Windows.- Analyse du cache, cookie et historique de navigation, historique des événements.