Analyse inforensique avancée

[![Le programme en pdf](/theme/images/picto-pdf-download.svg)]({attach}FOR_1705-0012.pdf){. class="mypdf"} ![Datadocké](/images/datadock.jpg){: .myTblImg}

OF 73310795531

AU REGARD DE LA SITUATION SANITAIRE NOS FORMATIONS SONT EGALEMENT PROPOSEES EN LIGNE

FOR_1705-0012

Analyse inforensique avancée

Objectifs:

  • Appréhender la corrélation des événements
  • Retro-concevoir des protocoles de communications
  • Analyser des systèmes de fichiers corrompus
  • Connaître et analyser la mémoire volatile des systèmes d'exploitation 

Public:

  • Investigateurs numériques souhaitant progresser,
  • Analystes des SOC et CSIRT (CERT),
  • Administrateurs système, réseau et sécurité,
  • Experts de justice en informatique.

Durée:

35 heures

Méthode pédagogique:

  • Cours magistral illustré par des travaux pratiques réguliers

Programme:

Section 1 : Introduction à l'inforensique réseau
  • Incident de sécurité
    • Présentation
      • Quels sont les étapes d'une intrusion ?
      • Quels impacts de celles-ci ?
  • Indices de compromission (IOC)
    • Introduction au threat intel (Misp, Yeti, etc.)
    • Quels sont les outils / ressource à disposition ?
    • Création d'IOC
  • Hunting & Triage (à distance ou en local)
    • GRR
    • Kansa
    • OS Query
    • Comment analyser et automatiser l'analyse du résultat de notre hunting ?
      • NSRLDB
      • Packing/Entropie/, etc…
Section 2 : Analyse post-mortem réseau
  • Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feux, Syslog)
  • Analyse de capture réseau (PCAP)
  • Analyse statistique des flux (Netflow)
  • Canaux de communications avec les serveurs de Command and Control
  • Détection des canaux de communications cachées (ICMP, DNS)
  • Détection des techniques de reconnaissances
  • Création de signatures réseaux

Section 3 : Mémoire volatile
  • Introduction aux principales structures mémoires
  • Analyse des processus
    • Processus "cachés"
    • Traces d'injection de code et techniques utilisées
    • Process-Hollowing
  • Shellcode - détection et analyse du fonctionnement
  • Handles
  • Communications réseaux
  • Kernel : SSDT, IDT, Memory Pool
  • Utilisation de Windbg
    • Création de mini-dump
    • Analyse "live" d'un système
Section 4 : FileSystem (NTFS only)
  • Introduction au FS NTFS et aux différents artefacts disponibles
  • Présentation de la timerules sous Windows/Linux/OSX
  • Timeline filesystem
    • Timestomping + toutes les opérations pouvant entravers une timeline "only fs"
Section 5 : Trace d'exécution et mouvement latéraux
  • Trace de persistances
    • Autostart (Linux/Windows/OSX)
    • Services
    • Tâches planifiées
    • WMI
  • Active Directory - Détecter une compromission
    • Comment générer une timeline des objets AD ?
    • Recherche de "backdoor" dans un AD (bta, autres outils, ...)
    • Présentation des principaux EventID et relations avec les outils d'attaques (golden ticket, etc.)
Section 6 : Super-Timeline
  • Présentation
    • Cas d'utilisations
      • Timesketch
Section 7 : Quizz de fin de formation

Sanction:

  • A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises.
  • Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation.
  • Examen de certification HS2
  • Formation délivrée en partenariat avec HS2

Parcours de formation disponibles sur demande

## Formation RGPD en ligne ouverte pour tous [![Mooc en ligne](/theme/images/Mooc-CNIL.jpg){: w100} Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD.](https://atelier-rgpd.cnil.fr/) Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels. [A découvrir sur le site de la CNIL](https://www.cnil.fr/fr/la-cnil-lance-sa-formation-en-ligne-sur-le-rgpd-ouverte-tous).
## Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information Le MOOC (Massive Open Online Course) [![Mooc en ligne](/theme/images/SecNumAcademie.png){: .w100} SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous](https://www.secnumacademie.gouv.fr/){: target='_blank'} A découvrir [sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)](https://www.ssi.gouv.fr/actualite/secnumacademie-le-nouvelle-formation-en-ligne-met-la-cybersecurite-a-la-portee-de-tous/){: target='_blank'}
## Formons les formateurs! **La formation des formateurs !** A découvrir de toute urgence [l'interview de **Gérard PELIKS le président de cyberedu**](https://archive.g-echo.fr/20170712-InterviewGerardPeliks.html). Cyberedu met à votre disposition [la mallette de formation des formateurs à télécharger immédiatement](https://www.ssi.gouv.fr/administration/formations/cyberedu/contenu-pedagogique-cyberedu/). ## Programme G-echo en pdf
[![Le programme en pdf](/theme/images/picto-pdf-download.svg)]({attach}FOR_1705-0012.pdf){. .mypdf .fl} ![Datadocké](/images/datadock.jpg){: .myTblImg .fr}

OF 73310795531

By G-echo