Obtenir les clés pour monter une équipe de veille au sein d’une organisation
Comprendre les limites des outils de sécurité classiques
Découvrir les principes technologiques derrière l'acronyme SIEM
Apprendre à détecter les menaces parmi un grand volume d'information
METHODES PEDAGOGIQUES
Mise à disposition d’un poste de travail par participant
Remise d’une documentation pédagogique papier ou numérique pendant le stage
La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
METHODES D'EVALUATION DES ACQUIS
Auto-évaluation des acquis par le stagiaire via un questionnaire
Attestation de fin de stage adressée avec la facture
FORMATEUR
Consultant-Formateur expert Sécurité défensive
CONTENU DU COURS
1 - JOUR 1 : Veille Technologique
Enjeux de la veille technologique
Objectifs propres à la cybersécurité
Définition d’une vulnérabilité
Définition de l’exploitation
Types de mesures correctives
Base de données CVE et score CVSS
Sources d’information (listes de diffusion Twitter, Reddit, etc.)
Flux RSS (Tiny Tiny RSS)
Automatisation (Google Alerts, Zapier, Netvibes)
Organisation d’une équipe de veille (CERT, CSIRT, ENISA)
2 - JOUR 2
Rôle de la détection d’intrusion
Terminologie : Faux-positifs, détection, prévention, etc.
Architecture et types d’IDS
Présentation de l’IDS Suricata
Déploiement et configuration de base
Langage d’écriture de règles
Journalisation via Syslog
Ateliers : Mise en place d’une architecture IDS virtualisée : firewall, cible, attaquant – Jeu d’attaques et création de règles de détection (scans, bruteforce, exploitation de vulnérabilité)
3 - JOUR 3
Présentation du HIDS OSSEC et architecture
Déploiement et configuration de base
Syntaxe d’écriture de règles
Atelier : Ecriture de règles
Limites des IDS
Intégration avec les autres composants du SI
Points importants dans le cadre d’un appel d’offre
4 - JOUR 4 : Défis modernes posés à la supervision classique
Objectifs d’un SIEM
Architecture et fonctionnalités
Syslog et centralisation des journaux
Synchronisation du temps (NTP)
Présentation d’ELK
Configuration avancée de Logstash
5 - JOUR 5
Ateliers : Configuration d’agents Logstash – Ecritures de Groks avancés – Environnement hétérogène : Linux, Windows
Visualisation des résultats dans Kibana
Conclusion (Discussions sur les solutions alternatives – Préparation des points-clés pour un appel d’offre)