Analyste SOC (Security Operations Center)

Connaître le guide sécurité de l’ANSSI, avoir des connaissances en réseau, avoir suivi le parcours introductif à la cybersécurité ou posséder des connaissances équivalentes.

Assurer les fonctions d’analyste d’un Security Operations Center (SOC), principalement la détection et l’analyse des intrusions, l’anticipation et la mise en place des protections nécessaires.

À l’issue de chaque module, le formateur évaluera chacun des participants en fonction des cas pratiques et exercices effectués.

Une attestation de formation vous sera remise.

• Alternance d’exercices, cas pratiques, QCM et de notions théoriques, projet Fil Rouge.
• Evaluations régulières et retour du formateur sur les points moins bien assimilés.
• Les supports de cours seront mis à disposition via notre la plate-forme de téléchargement AJC Classroom.
• Accès à notre plateforme à distance de Classe Virtuelle
  Mêmes possibilités et interactions avec votre formateur que lors d’une formation présentielle. En effet, votre formation se déroulera en connexion continue 7h/7 :
  • • • Echanges directs avec le formateur et l’équipe pédagogique à travers la visioconférence, les forums et chats
      • Vérification de l’avancement de votre travail et évaluation par votre formateur à l’aide d’exercices et de cas pratiques
      • Suivi pédagogique et conseils personnalisés pendant toute la formation

   

  Vous recevrez les informations de connexion par mail dès votre inscription. En cas de problème de connexion, vous pourrez joindre notre équipe à tout moment (avant ou même pendant la formation) au 0182837241 ou par mail à l’adresse hotline@ajc-formation.fr.

Les personnes en situation de handicap sont invitées à nous communiquer leurs besoins spécifiques. Nous ferons tout pour les mettre dans les meilleures conditions de suivi de la formation (compensation, accessibilité…)

Une attestation de fin de stage sera remise à tous les participants à l’issue de leur parcours.

Techniciens et administrateurs Systèmes et Réseaux, responsables informatiques, consultants en sécurité, ingénieurs, responsables techniques, architectes réseaux, chefs de projets…

SOC et le métier d’analyste

• Etat de l’art du SOC (Security Operation Center)
  • Définition du SOC
  • Les avantages, l’évolution du SOC
  • Les services intégrés au SOC, les données collectées, playbook Le modèle de gouvernance du SOC
  • Approche SSI (Sécurité des Systèmes d’Information) Type de SOC
  • CERT (Computer Emergency Response Team)
  • CSIRT (Computer Security Incident Response Team) Prérequis et rôles d’un analyste SOC
  • Techniques Soft skills Rôles Modèles
  • Les référentiels ATT&CK DeTT&CT
  • Sigma
• MISP (Malware Information Sharing Platform)

Travaux pratiques : Utilisation du framework ATT&CK via Navigator (attaque et défense)

• Focus sur l’analyste SOC
  • Quel travail au quotidien ? Triage des alertes Révision et état de sécurité Identification et rapport Threat Hunting

Travaux pratiques : Utilisation de l’outil SYSMON

• Les sources de données à monitorer
  • Indicateur Windows Processus, firewall… Service WEB Serveur
  • WAF
  • Activité IDS/IPS EDR, XDR USB
  • DHCP, DNS
  • Antivirus, EPP DLP, Whitelist Email

Travaux pratiques : Cas d’usage et ligne de défense

• Tour d’horizon du SIEM
  • Contexte du SIEM Solution existante
  • Principe de fonctionnement d’un SIEM Les objectifs d’un SIEM
  • Solution de SIEM
• Présentation de la suite Elastic
  • Les agents BEATS, sysmon Découverte de Logstash Découverte d’Elasticsearch Découverte de Kibana

Travaux pratiques : Mise en place d’ELK et première remontée de log

• • Logstash (ETL)
    • Fonctionnement de Logstash Les fichiers Input et Output Enrichissement
    • Les filtres Groks et sources externes
  • Elasticsearch
    • Terminologie Syntax Lucene
    • Alerte avec ElasticAlert et Sigma

Travaux pratiques : Création d’alertes, alarmes Utilisation d’ElastAlert et Sigmac

Kibana

Recherche d’événements Visualisation des données

Travaux pratiques : Création d’un filtre sur Kibana Ajout de règles de détection, IoC

Allez plus loin dans l’architecture ELK avec HELK

Travaux pratiques : Mise en situation à travers des outils, l’analyste SOC est en situation et doit identifier plusieurs scénarios d’attaque lancés par le formateur

Configurer un SIEM et l’exploiter

• Rapport
  • Rapporter les attaques
  • Détecter et identifier les menaces, les impacts Vérifier si son système d’information est touché

Travaux pratiques : créer un rapport des attaques interceptées et évaluer l’impact

SPLUNK

Introduction

Rappel sur les principes du Big Data

• Mise en place d’une méthodologie / stratégie d’exploitation de données
• Principe de vectorisation des données
• Les KPI comme unité de mesure
• Bonnes pratiques de déploiement
• Déploiement avancé
  • Sécurité
  • Clustering
  • Capacity planning
  • Modèle en château
  • Le Machine Learning et Splunk
  • Déploiement de Splunk sous Windows
  • Indexer des fichiers et des répertoires
  • Remonter les logs et données
  • Mise en oeuvre de l’expéditeur universel (Universal Forwarder)

Prise en main de Splunk

• Exécuter des recherches
• Créer des rapports
• Créer des tableaux croisés dynamiques
• Les tableaux de bord et l’intelligence opérationnelle
• Les types de graphes

Exploration de données

• Requêtes de SPL, opérateurs booléens et commandes
• Recherches à l’aide de plages de temps
• Corrélation d’évènements

Types d’alertes

• Conditions surveillées
• Etudes de cas
• Plan de réponses aux alertes
• Méthodologie de priorisation et traitement des alertes
• Splunk pour les SOC (Security Operation Center)

CTI

Cycle du renseignement

• Description du modèle en diamant

Les 3 domaines du renseignement

Outillage

• IOC / Pivots activables
• Les formats d’échanges

Méthodes d’analyse

• Les applications
• Description de la Kill Chain

Travaux pratiques : Exercices sur les sources de données : filtrage, analyse, corrélation

Exercice sur le renseignement appliqué

Outils de détection et exploitation d’IOC et PA pour la protection des SI

Structuration des formats d’échanges libres

Introduction à l’OPSEC

Particules élémentaires de la CTI

Exploitation des particules élémentaires en OSINT

Modélisation des modes opératoires adverses

Attribution

Tavaux pratiques : TP / Groupes d’attaquants

Déterminer les sources d’attaques

Machine Learning pour l’OPSEC

Mise en place d’une mini cellule OPSEC

Tracking d’activité sur le Net

Déterminer les sources d’attaques en fonction des patterns et analyse approfondie

Etude de cas compagne et modes opératoires adverses

Exploitation du Machine Learning

Techniques d’analyse

Matrice d’hypothèses comparées (ACH)

Biais cognitifs et erreurs de logique

Techniques de manipulation de l’information

Restitution et diffusion du renseignement

Partage du renseignement technique

Les sources de données

Méthodologie d’analyse

Méthodologie d’OSINT avancé

OSINT pour le renseignement

Exploitation de l’IOT et objets connectés pour le renseignement

Whois

Certificats

Passive DNS, Shodan / Onyphe

Bases de données de malware

MISP

MITRE

Méthodologies avancées