Fiche n°33402

FORENSIC & INVESTIGATION NUMERIQUE

** Cette fiche à été générée sur DNDA Formation le 24/11/2022 à 12:11 **

Ref : DNDAFIN04 Durée : 4 jours Tarif : 3 600 € HT

Deploiement d'un soc (Security Opération Center)

Objectifs
A l'issue de la formation, vous serez capable de :
Définir une approche stratégiquede mise en place
Savoir analyser les differentes solution EDR du marché
Savoir le mettre en oeuvre et le deployer

Contenu
Le SOC est un dispositif de surveillance et de monitoring permanent de votre SI .Le Soc permet de maintenir un haut niveau de
sécurité, Le SOC ne fait pas d’analyse de risque, n'organise pas la gestion de crise et ne conçoit pas de plan de continuité d’activité,

Section 1 - Introduction à la cybersécurité

Histoire de la cybersécurité
Présentation du programme Creeper
Présentation du projet Rabbit
La cybersécurité aujourd’hui et ses risque
La dangerosité des données numériques
Quels sont les responsables ? quelles motivations ont-ils?
Classification des risques selon le gouvernement français

Section 2 - Définition et approche stratégique

Terminologie du monde SOC

Définition et environnement
Les objectifs et missions
Les services actifs au sein du SOC
Les processus du SOC
Les composantes au sein du SOC
Les rôles et tâches au sein des équipes
La génération et le traitement des données
La structuration SOC selon le CLUSIF

Section 3 - Le déploiement d’un SOC

La définition du projet de déploiement

L’approche constructive entreprise
 La délimitation des besoins
La phase de “Build”
La phase de “Run”
Premier bilan et retour d’expériences
La poursuite du déploiement

Section 4 - La technologie SIEM

Qu’est-ce qu’un SIEM

Les objectifs d’un SIEM
Comprendre le SIEM on sein d’un SOC
Le fonctionnement d’un SIEM

Section 5 - Le LAB

o Présentation du lab de formation

o Explications des outils intégrés au LAB
o Préparation du LAB

Section 6 - Mise en place de Windows Server

o Installation de Windows server R2

o Configuration du serveur
o Activation et configuration du domaine
o Activation et configuration du service Active Directory

Partie 2

Section 7 - Le Firewall

Généralités sur les Firewall

Fonctionnement d’un Firewall
Les types de filtrages
Les types de Firewall
Présentation de PfSense

Section 8 - Mise en place du Firewall TP

TP 1 Installation de Pfsense
TD / Configuration des interfaces réseau
TD / Accès à Pfsense (par Wan et Lan)
Rappel sur le protocole DHCP
TP 2 / Configuration du DHCP
Présentation du portail d’authentification
TP 3 / Portail Captif (proxy)
Présentation du protocole SNMP
Les différents modules SNMP avec Pfsense
TP 4 / Configuration SNMP, Eyes of Network
TD / Mise à jour, Backup et restauration
 TP 5 / Les packages (installation de Suricata)

Section 9 - Présentation des types de détections systèmes

Définition de l’Intrusion détection system

Définition d’un Network IDS
Définition d’un Wireless IDS
Définition d’un hybride IDS

Section 10 - Mettre en place son IDS Suricata

Présentation de Suricata
TP 6 /- Installation et dépendances
TD / Les commandes de bases
Les différents modes d'exécution
TD / Configuration via suricata.yml
Approche théorique : les formats de règles Suricata
Les options de règles
TD / La gestion des règles sur Suricata
TD / Donner du sens aux alertes

Section 11 - Présentation de ELK

Présentation de la suite ELK

Découverte de Elasticsearch
Découverte de logstash
Découverte de Kibana

Section 12 - ElasticSearch

Approche théorique : Terminologie

TD / Présentation de la solution Cloud
TP 7 / Installation de ElasticSearch
TD / Configuration du fichier. Yml
Application Full REST et utilisation

Section 13 - Logstash

Approche théorique : fonctionnement de logstash

TD / Installation de logstash

Section 14 - Kibana

Installation et configuration
 TP 8 / Installation de Kibana
TD / Configuration de Kibana
Utilisation de l’interface Discover
Visualize et les différentes visualisations
Création d’alertes
Exporter en PDF les données dashboard
Optimisation de la sécurité de Kibana

Section 15 - Détection d’intrusion et remontée d’alertes sur l’active directory

Présentation du scénario et de l’objectif

Approche théorique sur l’agent WinlogBeat
TD / Mise en place de WinlogBeat
TD / Configurer le Dashboard sur Kibana
TP 9 / Détecter une intrusion administrateur dans l’active directory

Section 16 - TP final

TP 10 / Détecter une intrusion Pfsense et remonter l’alerte dans le dashboard.

Préparation à l’examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)

Evaluation

Via QCM et apport des correctifs

Autres formations complementaires

Public
Administrateur système, Pentester, RSSI,
consultant en sécurité de l’information.

Pré-requis
Connaissances générales en système, réseau, et développement réseau

Méthodes pédagogiques
Formation est décomposée en séquences qui respectent une progression pédagogique et agissent sur les trois niveaux
d'apprentissage :
savoir, savoir-faire et motivation.
Notre approche alterne apports théoriques, exercices pratiques et/ou études de cas utilisant des méthodes d'animation actives et
permettant une meilleure compréhension des concepts et une appropriation accélérée.