FOR_1705-0012
Analyse inforensique avancée
Objectifs:
- Appréhender la corrélation des événements
- Retro-concevoir des protocoles de communications
- Analyser des systèmes de fichiers corrompus
- Connaître et analyser la mémoire volatile des systèmes d'exploitation
Public:
- Investigateurs numériques souhaitant progresser,
- Analystes des SOC et CSIRT (CERT),
- Administrateurs système, réseau et sécurité,
- Experts de justice en informatique.
Durée:
35 heuresMéthode pédagogique:
- Cours magistral illustré par des travaux pratiques réguliers
Programme:
Section 1 : Introduction à l'inforensique réseau- Incident de sécurité
- Présentation
- Quels sont les étapes d'une intrusion ?
- Quels impacts de celles-ci ?
- Présentation
- Indices de compromission (IOC)
- Introduction au threat intel (Misp, Yeti, etc.)
- Quels sont les outils / ressource à disposition ?
- Création d'IOC
- Hunting & Triage (à distance ou en local)
- GRR
- Kansa
- OS Query
- Comment analyser et automatiser l'analyse du résultat de notre hunting ?
- NSRLDB
- Packing/Entropie/, etc…
- Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feux, Syslog)
- Analyse de capture réseau (PCAP)
- Analyse statistique des flux (Netflow)
- Canaux de communications avec les serveurs de Command and Control
- Détection des canaux de communications cachées (ICMP, DNS)
- Détection des techniques de reconnaissances
- Création de signatures réseaux
Section 3 : Mémoire volatile
- Introduction aux principales structures mémoires
- Analyse des processus
- Processus "cachés"
- Traces d'injection de code et techniques utilisées
- Process-Hollowing
- Shellcode - détection et analyse du fonctionnement
- Handles
- Communications réseaux
- Kernel : SSDT, IDT, Memory Pool
- Utilisation de Windbg
- Création de mini-dump
- Analyse "live" d'un système
- Introduction au FS NTFS et aux différents artefacts disponibles
- Présentation de la timerules sous Windows/Linux/OSX
- Timeline filesystem
- Timestomping + toutes les opérations pouvant entravers une timeline "only fs"
- Trace de persistances
- Autostart (Linux/Windows/OSX)
- Services
- Tâches planifiées
- WMI
- Active Directory - Détecter une compromission
- Comment générer une timeline des objets AD ?
- Recherche de "backdoor" dans un AD (bta, autres outils, ...)
- Présentation des principaux EventID et relations avec les outils d'attaques (golden ticket, etc.)
- Présentation
- Cas d'utilisations
- Timesketch
- Cas d'utilisations
Sanction:
- A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises.
- Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation.
- Examen de certification HS2
- Formation délivrée en partenariat avec HS2
Parcours de formation disponibles sur demande
Formation RGPD en ligne ouverte pour tous
Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD. Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels.
Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information
Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous
A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)
Formons les formateurs!
La formation des formateurs ! A découvrir de toute urgence l'interview de Gérard PELIKS le président de cyberedu.
Cyberedu met à votre disposition la mallette de formation des formateurs à télécharger immédiatement.
Programme G-echo en pdf
OF 73310795531