Sécurité : SIEM et Veille technologique sécurité

1 - JOUR 1 : Veille Technologique

• Enjeux de la veille technologique
• Objectifs propres à la cybersécurité
• Définition d’une vulnérabilité
• Définition de l’exploitation
• Types de mesures correctives
• Base de données CVE et score CVSS
• Sources d’information (listes de diffusion Twitter, Reddit, etc.)
• Flux RSS (Tiny Tiny RSS)
• Automatisation (Google Alerts, Zapier, Netvibes)
• Organisation d’une équipe de veille (CERT, CSIRT, ENISA)

2 - JOUR 2

• Rôle de la détection d’intrusion
• Terminologie : Faux-positifs, détection, prévention, etc.
• Architecture et types d’IDS
• Présentation de l’IDS Suricata
• Déploiement et configuration de base
• Langage d’écriture de règles
• Journalisation via Syslog
• Ateliers : Mise en place d’une architecture IDS virtualisée : firewall, cible, attaquant – Jeu d’attaques et création de règles de détection (scans, bruteforce, exploitation de vulnérabilité)

3 - JOUR 3

• Présentation du HIDS OSSEC et architecture
• Déploiement et configuration de base
• Syntaxe d’écriture de règles
• Atelier : Ecriture de règles
• Limites des IDS
• Intégration avec les autres composants du SI
• Points importants dans le cadre d’un appel d’offre

4 - JOUR 4 : Défis modernes posés à la supervision classique

• Objectifs d’un SIEM
• Architecture et fonctionnalités
• Syslog et centralisation des journaux
• Synchronisation du temps (NTP)
• Présentation d’ELK
• Configuration avancée de Logstash

5 - JOUR 5

• Ateliers : Configuration d’agents Logstash – Ecritures de Groks avancés – Environnement hétérogène : Linux, Windows
• Visualisation des résultats dans Kibana
• Conclusion (Discussions sur les solutions alternatives – Préparation des points-clés pour un appel d’offre)