CyOps1.1 Chp11Instructor Supplemental Material

Chapitre 11 : Contrôle de la
sécurité
Supports de l'instructeur
CCNA Cybersecurity Operations v1.1

Supports du formateur – Chapitre 11 Guide de planification
 Cette présentation PowerPoint est divisée en deux parties :
 Guide de planification de l'enseignant

• Informations destinées à vous familiariser avec le chapitre
• Outils pédagogiques
 Présentation en classe pour le formateur
• Diapositives facultatives que vous pouvez utiliser en classe
• Commence à la diapositive 9
 Remarque : supprimez le guide de planification de cette présentation avant de la partager.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
Chapitre 11 : Contrôle de
la sécurité
Guide de planification
Chapitre 11 : exercices
Quels sont les exercices associés à ce chapitre ?
N° de page Type d'exercice Nom de l'exercice
11.1.1.7 Exercice interactif Identifier le protocole surveillé
11.1.2.6 Exercice interactif Identifier l'impact de la technologie sur la sécurité et la surveillance
11.2.1.5 Exercice interactif Identifier les types de données liées à la surveillance du réseau
11.2.2.7 Exercice interactif Identifier les informations issues des événements enregistrés
Identifier les technologies de sécurité dans la description du type de
11.2.3.8 Exercice interactif
données
Identifier le type d'événement lié au système de prévention des
11.2.3.9 Exercice interactif
intrusions nouvelle génération
11.2.3.10 Packet Tracer Découvrir une implémentation NetFlow
11.2.3.11 Packet Tracer Consigner des informations à partir de plusieurs sources
11.3.1.1 Travaux pratiques Configurer un environnement avec plusieurs machines virtuelles
11.3.1.1 Démonstration vidéo Configurer un environnement avec plusieurs machines virtuelles

Chapitre 11 : évaluation
 Une fois qu'ils ont terminé le chapitre 11, les élèves doivent se soumettre à l'évaluation
correspondante.
 Les questionnaires, les travaux pratiques, les exercices dans Packet Tracer, ainsi que les autres
activités peuvent servir à évaluer, de manière informelle, les progrès des élèves.
Chapitre 11 : Les meilleures pratiques
Avant d'enseigner le contenu du chapitre 11, le formateur doit :
 Terminer les évaluations du Chapitre 11, « Évaluations ».
 Passer en revue les protocoles fréquemment utilisés.
 Passer en revue les technologies de sécurité courantes.
 Se familiariser avec les types de données enregistrées dans les journaux.
 Ce chapitre inclut plusieurs liens web. Veuillez les consulter avant d'enseigner le contenu du chapitre.
• Section 11.1.1.1 https://syslog-ng.com/open-source-log-management

• Section 11.1.1.6 Exploit LOKI http://phrack.org/issues/49/6.html
• Section 11.1.1.6 Tunnel HANS http://code.gerade.org/hans/
• Section 11.1.1.6 Tunnel Ping http://www.mit.edu/afs.new/sipb/user/golem/tmp/ptunnel-
0.61.orig/web/
Chapitre 11 : aide supplémentaire
 Pour obtenir plus d'aide sur les méthodes d'enseignement, notamment les plans de cours,
l'utilisation d'analogies pour expliquer les concepts difficiles et les sujets de discussion,
rendez-vous sur les forums de la communauté.
 Si vous souhaitez partager des plans de cours ou des ressources, chargez-les sur les forums
de la communauté afin d'aider les autres instructeurs.
 Les étudiants peuvent s'inscrire au cours Introduction to Packet Tracer (cours en ligne)
Chapitre 11 : Contrôle
de la sécurité

Chapitre 11 – Sections et objectifs
 11.1 Les technologies et les protocoles
• Expliquer l'incidence des technologies de protection sur la surveillance de la sécurité.
• Expliquer le comportement des protocoles réseaux courants dans le cadre de la surveillance de la sécurité.
• Expliquer comment les technologies de sécurité affectent la possibilité de contrôler les protocoles réseaux courants.
 11.2 Les fichiers journaux

• Expliquer les types de fichiers journaux utilisés dans la surveillance de la sécurité.
• Décrire les types de données utilisées dans la surveillance de la sécurité.
• Décrire les éléments du fichier journal d'un terminal.
• Décrire les éléments du fichier journal d'un périphérique réseau.
11.1 Les technologies et les
protocoles
Surveillance des protocoles courants
Syslog et NTP
 Syslog et Network Time Protocol (NTP) sont indispensables au travail de l'analyste en
cybersécurité.
• Syslog est utilisé pour consigner les messages liés aux événements sur les terminaux et les
périphériques réseau.
• Les serveurs Syslog écoutent généralement le port UDP 514.
• Les serveurs syslog peuvent être une cible pour les hackers.
• Les hackers peuvent bloquer le transfert des données, altérer les données du journal d'événements ou
manipuler le logiciel qui crée et transmet les messages du journal.
• Améliorations fournies par syslog-ng (nouvelle génération).
NTP
 Les messages Syslog sont généralement
horodatés à l'aide du protocole NTP (Network
Time Protocol).
 NTP fonctionne sur le port UDP 123.
 Les horodatages sont essentiels pour la
détection d'un exploit.
 Les hackers peuvent attaquer NTP afin de
corrompre les informations temporelles
permettant de corréler des événements réseau
consignés,
 Les hackers utilisent des systèmes NTP pour
diriger les attaques DDoS.
DNS
 DNS est utilisé par de nombreux types de malware.
 Les hackers encapsulent différents protocoles réseau dans DNS pour contourner les dispositifs de
sécurité.
 Certains malwares utilisent DNS pour communiquer avec des serveurs de type contrôle-commande (C&C)
et pour exfiltrer des données du trafic en se faisant passer pour des requêtes DNS normales.
 Un malware peut coder les données volées en tant que sous-domaine d'une recherche DNS pour un
domaine où le serveur de noms est sous contrôle d'un hacker.
 Les requêtes DNS portant sur des noms de domaine générés de manière aléatoire ou des sous-domaines
très longs semblant aléatoires, devraient être considérées comme suspectes, surtout si leur présence
augmente soudainement sur le réseau.
Exfiltration DNS
HTTP et HTTPS
 Toutes les informations véhiculées via HTTP sont transmises en texte clair depuis l'ordinateur
source vers la destination sur Internet.
 HTTP ne protège pas les données d'altération ou interception.
 Les menaces sur le Web se composent de scripts de programme malveillant qui ont été
plantés sur les serveurs Web qui dirigent les navigateurs pour les serveurs infectés par
chargement iframes.
• Avec l'injection iFrame, un hacker compromet un serveur web et y place un code malveillant qui crée un
iFrame invisible sur une page web fréquemment visitée.
• Le malware est téléchargé lors du chargement de l'iFrame.
Injection d'iFrame
HTTP
HTTP et HTTPS (suite)
 HTTPS chiffre le protocole HTTP via SSL.
• Avec SSL, les données HTTP sont illisibles depuis le moment où elles
sortent de l'ordinateur source jusqu'à ce qu'elles atteignent le serveur.
HTTP et HTTPS (suite)
 Le trafic HTTPS chiffré complique la surveillance de la sécurité du réseau.
 Le protocole HTTPS rend plus complexes les captures de paquets.
Protocoles de messagerie
 Les hackers utilisent des protocoles de messagerie, comme SMTP, POP3 et IMAP, pour diffuser
des malwares, exfiltrer des données ou créer des canaux vers des serveurs malveillants de
contrôle-commande.
• SMTP envoie des données depuis un hôte vers un serveur de messagerie, ainsi qu'entre serveurs de
messagerie, et n'est pas toujours surveillé.
• Les protocoles IMAP et POP3 sont utilisés pour télécharger des messages électroniques entre un serveur de
messagerie et l'ordinateur hôte et peuvent être responsables de l'infection de l'hôte récepteur par des malwares.
• Le contrôle de la sécurité permet d'identifier à quel moment une pièce jointe malveillante est entrée dans le réseau
et l'hôte qu'elle a infecté en premier.
ICMP
 ICMP peut être utilisé pour mettre en œuvre plusieurs types d'exploits.
• Ce protocole identifie les hôtes sur un réseau et la structure d'un réseau, et
détermine les systèmes d'exploitation utilisés sur le réseau.
• Il peut aussi servir de vecteur pour divers types d'attaques DoS.
• ICMP peut également permettre l'exfiltration des données par le biais du trafic
ICMP provenant du réseau interne.
• Tunnellisation ICMP : les malwares utilisent des paquets ICMP conçus pour transférer des
fichiers depuis des hôtes infectés vers les hackers.
Technologies de sécurité
ACL
 Les ACL peuvent donner l'impression que le réseau est sécurisé, à tort.
• Les hackers identifient les adresses IP, les protocoles et les ports qui sont
autorisés par les listes de contrôle d'accès (ACL) via une analyse des ports, des
tests d'intrusion ou d'autres méthodes de reconnaissance.
• Ils peuvent concevoir des paquets qui utilisent des adresses IP source usurpées
ou les applications peuvent établir des connexions sur des ports arbitraires.
NAT et PAT
 Les technologies NAT et PAT peuvent compliquer la surveillance de la sécurité.
• Plusieurs adresses IP sont mappées à une ou plusieurs adresses publiques
visibles sur Internet.
• Elles masquent chaque adresse IP à l'intérieur du réseau.
Chiffrement, encapsulation et tunnellisation
 Chiffrement
• Les analystes en cybersécurité rendent le contenu du trafic illisible.
• Une partie du réseau privé virtuel (VPN) et HTTPS.
 Connexion point à point virtuelle entre un hôte interne et les équipements d'un
hacker
• Les malwares créent un tunnel chiffré qui exécute un protocole couramment
utilisé et fiable, puis l'utilisent pour exfiltrer des données du réseau.
Réseau peer-to-peer et Tor
 Activité réseau peer-to-peer (P2P)
• Peut contourner les protections du pare-feu et se convertir dès lors en vecteur de propagation des malwares.
• Trois types d'applications P2P : le partage de fichiers, le partage de processeur et la messagerie instantanée
• Les applications de partage de fichiers P2P ne devraient pas être autorisées sur les réseaux d'entreprise.
 Tor est une plate-forme logicielle et un réseau d'hôtes homologue-à-homologue qui fonctionnent comme
les routeurs Internet sur le réseau ToR.
• Permet aux utilisateurs de naviguer anonymement sur Internet via un navigateur spécial.
• Permet de masquer l'identité des hackers.
Opérations
P2P de ToR
Les technologies de sécurité
Équilibrage de charge
 L'équilibrage de la charge consiste à répartir le trafic entre les appareils ou les chemins
d'accès réseau pour éviter de submerger les ressources de réseau.
• Certaines approches d'équilibrage de la charge utilisent DNS pour envoyer du trafic aux
ressources qui ont le même nom de domaine, mais des adresses IP différentes.
• Une seule et même transaction Internet peut donc être représentée par plusieurs adresses IP
dans les paquets entrants.
• Certaines caractéristiques suspectes peuvent apparaître dans les captures de paquets.
11.2 Les fichiers journaux
Types de données de sécurité
Données d'alerte
 Les données d'alerte sont des messages
générés par les systèmes de prévention ou
de détection des intrusions en réponse au
trafic qui enfreint une règle ou qui correspond
à la signature d'un exploit connu.
 Un système de détection des intrusions
réseau (NIDS), comme Snort, est configuré
avec des règles pour les exploits connus.
 Des alertes sont générées par Snort et sont
rendues lisibles et consultables par des
applications telles que Sguil, qui font partie
de la suite Security Onion d'outils NSM.
Session et les données de Transaction
 Les données de session correspondent à l'enregistrement d'un échange entre deux terminaux
réseau.
• Elles comprennent l'ID de la session, la quantité de données transférées par la source et la destination
ainsi que la durée de la session.
• Bro est un outil de surveillance de la sécurité du réseau.
 Les données relatives aux transactions comprennent les

messages qui sont échangés lors des sessions.
• Vous pouvez les consulter dans les transcriptions des
captures de paquets.
Capture complète des paquets
 Les captures de paquets complets contiennent le contenu des conversations, notamment le texte
des e-mails, le code HTML des pages web et les fichiers qui entrent sur le réseau ou le quittent.
Cisco Prime
Network
Analysis
Module –
Capture
complète des
paquets
Données statistiques
 Les données statistiques concernent le trafic
réseau.
• Elles sont créées dans le cadre de l'analyse des
autres formes de données sur le réseau.
• Elles permettent de tirer des conclusions qui décrivent
ou prévoient le comportement du réseau.
• Elles permettent de comparer le comportement
normal du réseau au trafic actuel afin de détecter des
anomalies.
 Cisco Cognitive Threat Analytics est un outil NSM.

• Il est en mesure de trouver les activités malveillantes
qui ont contourné les contrôles de sécurité, ou sont
entrées par le biais de canaux non surveillés (y
compris des supports amovibles), et qui sont actives
dans l'environnement de l'entreprise.
Journaux des terminaux
Journaux d'hôte
 La protection contre les intrusions d'hôte (HIDS) s'exécute sur chaque hôte.
• HIDS détecte les intrusions, mais sous la forme d'un pare-feu d'hôte, il peut également les empêcher.
• Ce système crée des journaux et les stocke sur l'hôte.
• Vous pouvez consulter les journaux d'hôtes Microsoft Windows localement via l'Observateur d'événements.
• L'Observateur d'événements conserve quatre types de journaux : les journaux d'applications, les journaux système, les
journaux d'installation et les journaux de sécurité.
Types
d'événem
ents de
journaux
de l'hôte
Windows
Syslog
 Beaucoup d'équipements réseau différents peuvent être configurés pour enregistrer les
événements sur des serveurs syslog.
• Protocole client-serveur
• Les messages Syslog se divisent en trois parties : PRI (priorité), HEADER (en-tête) et MSG (texte du
message).
• La partie PRI contient deux éléments : le site et la gravité du message.
• Le site se compose de catégories de sources ayant généré le message, telles que le système, le processus ou
l'application, et dirige le message vers le fichier journal approprié.
• La sévérité est une valeur comprise entre 0 et 7 qui définit la sévérité du message.
Syslog (suite)
Journaux de serveur
 Les journaux de serveur sont une source essentielle de données pour la surveillance de la sécurité
réseau.
• Les serveurs de messagerie et web conservent des journaux des accès et des erreurs.
• Les journaux du serveur proxy DNS documentent toutes les requêtes et les réponses DNS qui se produisent sur le
réseau.
• Les journaux du proxy DNS identifient les hôtes qui ont visité des sites web dangereux et détectent l'exfiltration de
données DNS et les connexions à des serveurs C&C malveillants.
Journaux du serveur web
Journaux d'accès des serveurs web Apache
 Les journaux d'accès des
serveurs web Apache
enregistrent les demandes de
ressources envoyées au serveur
et provenant des clients.
• Deux formats de journaux
• Le format de journalisation standard
(CLF)
• Le format de journalisation combiné ,
qui inclut le format CLF avec les
champs Referrer et User agent en
plus
Journaux d'accès IIS
 Microsoft IIS crée des journaux d'accès qui peuvent être consultés depuis le serveur via l'Observateur d'événements.
SIEM et collecte des journaux
 Systèmes de gestion des informations et des événements liés à la sécurité (SIEM).
• Ils fournissent des rapports en temps réel et une analyse à long terme des événements liés à la sécurité.
• Les fonctions suivantes sont utilisées : collecte des journaux, normalisation, corrélation, agrégation, création
de rapports, conformité
• Splunk est un système
SIEM populaire.
Composants
SIEM
Journaux de réseau
TCPdump
 L'outil de ligne de commande tcpdump est un analyseur de paquets très
prisé.
• Il affiche les captures de paquets en temps réel ou enregistre les captures de
paquets dans un fichier.
• Il capture des données détaillées relatives au contenu et au protocole des
paquets.
• Wireshark est une interface graphique utilisateur reposant sur la fonctionnalité
Tcpdump.
Journaux de réseau
NetFlow
 NetFlow est un protocole utilisé
comme outil de dépannage de
réseau et de traçabilité en fonction
des sessions.
• Il se charge de la prise en compte
du trafic réseau, de la facturation
en fonction de l'utilisation du
réseau, de la planification du
réseau, de la sécurité, des
fonctionnalités de surveillance du
déni de service et de la
surveillance du réseau.
• Il fournit des informations sur les
applications et les utilisateurs du
réseau, sur les pics d'utilisation et
sur le routage du trafic.
• Il collecte des métadonnées ou
des données sur les flux, mais
pas les données du flux lui-même.
Journaux de réseau
Visibilité et contrôle sur les applications
 Système Cisco de visibilité et contrôle des applications (AVC)
• Combine plusieurs technologies qui permettent de reconnaître, d'analyser et de contrôler plus de 1 000 applications.
• On compte notamment les applications voix et vidéo, les e-mails, le partage de fichiers, les jeux, les applications
homologue-à-homologue et les applications cloud.
• Fournit plus d'informations que la seule surveillance des ports.
Journaux de réseau
journaux de filtre de contenu
 Des appareils qui assurent
le filtrage du contenu.
• L'appareil de sécurité de la
messagerie (ESA)
• L'appareil de sécurité Internet
(WSA)
 Ils fournissent un large
éventail de fonctionnalités
dédiées à la surveillance de
la sécurité. La journalisation
est disponible pour un grand
nombre de ces
fonctionnalités.
Journaux de réseau
Journalisation via les équipements Cisco
 Vous pouvez configurer les appareils Cisco de sorte qu'ils envoient des événements et des
alertes aux plates-formes de gestion de la sécurité via SNMP ou Syslog.
Journaux de réseau
Journaux du proxy
 Les serveurs proxy contiennent des journaux d'événements utiles qui représentent une
source importante de données pour le contrôle de la sécurité réseau.
• Les serveurs proxy envoient des demandes de ressources et les renvoient au client.
• Ils génèrent des journaux qui regroupent toutes les demandes et les réponses.
• Vous pouvez les analyser afin d'identifier les hôtes à l'origine de la demande, de savoir si les
destinations sont sécurisées ou potentiellement malveillantes, et d'obtenir des informations sur le
type de ressources téléchargées.
 Le proxy web fournit des données permettant de déterminer si les réponses provenant du
web ont été générées en réponse à des demandes légitimes, ou semblent uniquement être
des réponses.
 OpenDNS propose un service DNS hébergé qui étend les capacités de DNS avec des
améliorations en matière de sécurité.
• Super proxy DNS
• Appliquer la threat intelligence en temps réel à la gestion des accès DNS et de la sécurité des
enregistrements DNS
Journaux de réseau
Système de prévention des intrusions nouvelle génération
 Les systèmes de prévention des intrusions nouvelle génération de Cisco
(IPS) étendent la sécurité du réseau à la couche d'application et au-delà.
• Il offre davantage de fonctionnalités que les générations précédentes d'appareils de sécurité du
réseau.
• Il propose des tableaux de bord de création de rapports équipés de fonctions interactives qui
permettent de créer rapidement des rapports sur des informations très précises sans recourir à
des systèmes SIEM ou de corrélation d'événements.
• Il utilise les fonctionnalités FirePOWER pour consolider plusieurs couches de sécurité dans une
même plate-forme.
• La visibilité et le contrôle sur les applications, le filtrage des URL basé sur les catégories et la
réputation, Advanced Malware Protection (AMP) sont des fonctionnalités FirePOWER.
Journaux de réseau
Système de prévention des intrusions nouvelle génération (suite)
 Parmi les
événements NGIPS
courants :
• Événement de
connexion
• Événement d'intrusion
• Événement de terminal
ou d'hôte
• Événement de
découverte du réseau
• Événement NetFlow
Journaux de réseau
Packet Tracer – Découvrir une implémentation NetFlow
Journaux de réseau
Packet Tracer – Consigner des informations issues de plusieurs sources
11.3 Résumé du chapitre
Récapitulatif
Vidéo – Configurer un environnement avec plusieurs machines virtuelles
Récapitulatif
Travaux pratiques – Configurer un environnement avec plusieurs machines virtuelles
Récapitulatif du chapitre
Récapitulatif
 Dans ce chapitre, vous avez découvert les technologies de sécurité et les fichiers journaux utilisés dans le cadre
de la surveillance de la sécurité.
 Certains protocoles fréquemment utilisés sont surveillés : Syslog, NTP, DNS, HTTP et HTTPS, SMTP, POP3,
IMAP et ICMP.
 Certaines technologies couramment utilisées influencent la surveillance de la sécurité, notamment les listes de
contrôle d'accès, les fonctions NAT et PAT, le chiffrement, la tunnellisation, les réseaux homologue-à-homologue,
Tor et l'équilibrage de la charge.
 Il existe différents types de données de sécurité : les données d'alerte, les données relatives aux sessions et aux
transactions, les captures de paquets complètes et les données statistiques.
 Les appareils créent des journaux. Vous pouvez consulter les journaux d'hôtes Microsoft Windows localement via
l'Observateur d'événements. L'Observateur d'événements conserve quatre types de journaux :
• Journaux d'applications : contiennent les événements enregistrés par diverses applications.
• Journaux système : contiennent les événements concernant le fonctionnement des pilotes, des processus et du matériel.
• Journaux d'installation : ils enregistrent des informations sur l'installation des logiciels, notamment les mises à jour Windows.
• Journaux de sécurité : ils enregistrent les événements relatifs à la sécurité, tels que les tentatives de connexion et les opérations liées à la
gestion des fichiers ou des objets et aux accès.
Récapitulatif (suite)
 Syslog englobe les caractéristiques relatives aux formats des messages, une structure
d'applications client-serveur et le protocole réseau.
 Les serveurs d'applications réseau, comme les serveurs de messagerie et web, conservent des
journaux sur les accès et les erreurs.
 Les journaux d'accès au serveur web Apache enregistrent les demandes de ressources envoyées
au serveur et provenant des clients.
 Microsoft IIS crée des journaux d'accès qui peuvent être consultés depuis le serveur via
l'Observateur d'événements.
 Les systèmes SIEM combinent les fonctions essentielles des outils SEM de gestion des
événements liés à la sécurité et SIM de gestion des informations liées à la sécurité pour fournir une
vue d'ensemble du réseau de l'entreprise.
 Tcpdump est un analyseur de paquets qui affiche les captures de paquets en temps réel. Wireshark
est une interface graphique utilisateur reposant sur la fonctionnalité Tcpdump.
Récapitulatif (suite)
 NetFlow se charge de la prise en compte du trafic réseau, de la facturation en fonction de
l'utilisation du réseau, de la planification du réseau, de la sécurité, des fonctionnalités de
surveillance du déni de service et de la surveillance du réseau.
 Le système Cisco de visibilité et de contrôle sur les applications (AVC) combine plusieurs
technologies pour reconnaître, analyser et contrôler plus de 1 000 applications réseau.
 Les appliances Cisco ESA et WSA fournissent un large éventail de fonctionnalités dédiées à la
surveillance de la sécurité, notamment la journalisation.
 Vous pouvez configurer les appareils de sécurité Cisco de sorte qu'ils envoient des événements et
des alertes aux plates-formes de gestion de la sécurité via SNMP ou Syslog.
 Les serveurs proxy génèrent des journaux qui regroupent toutes les demandes et les réponses.
 Le système Cisco de prévention des intrusions nouvelle génération offre davantage de

fonctionnalités que les générations précédentes d'appareils de sécurité du réseau, notamment des
services basés sur le contenu.
Chapitre 11
Nouveaux termes et nouvelles commandes
• Bro • Snort
• équilibrage de la charge • Données statistiques
• Système de prévention des intrusions nouvelle • tcpdump
génération (NGIPS) • ToR
• Données de session • Données de transaction
• Squil
Certification en opérations de cybersécurité
Ce chapitre couvre les domaines suivants en matière de certification en opérations de cybersécurité :
210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :
 Domaine 4 : concepts de sécurité

• 4.4 Interprétation des données de journalisation des systèmes d'exploitation suivants pour
identifier un événement :
• Journaux d'événements liés à la sécurité Windows
• Syslog basé sur Unix
• Journaux d'accès Apache
• Journaux d'accès IIS
210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :
 Domaine 5 : surveillance la sécurité
• 5.1 Identification des types de données fournis par les technologies suivantes :
• Vidage TCP, Netflow, pare-feu nouvelle génération, pare-feu avec état classique, visibilité et contrôle des applications, filtrage du
contenu web, filtrage du contenu des e-mails
• 5.2 Description des types suivants de données utilisés dans les activités de sécurité :
• Capture complète de paquets, données de session, données de transaction, données statistiques, extraction de contenu, données
d'alerte
• 5.3 Description des concepts suivants en relation avec les activités de sécurité :
• Liste de contrôle d'accès, NAT/PAT, tunnellisation, TOR, chiffrement, P2P, encapsulation, équilibrage de charge
• 5.4 Description des types suivants d'événements liés aux systèmes de protection contre les intrusions nouvelle génération :
• Événement de connexion, événement d'intrusion, événement d'hôte ou de terminal, événement de découverte de réseau,
événement Netflow
• 5.5 Description de la fonction des protocoles suivants dans les activités de sécurité :
• DNS, NTP, SMTP/POP/IMAP, HTTP/HTTPS
210-255 SECFND - Mise en œuvre des opérations en cybersécurité Cisco :
 Domaine 2 : analyse d'une intrusion réseau
• 2.3 Identification des éléments de l'enregistrement Netflow v5 d'un événement lié à la

sécurité
• 2.7 Mappage des événements fournis avec les technologies sources suivantes :
• NetFlow
• IDS/IPS
• Journaux du proxy

CyOps1.1 Chp11Instructor Supplemental Material

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CyOps1.1 Chp11Instructor Supplemental Material

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 11 : Contrôle de la

CCNA Cybersecurity Operations v1.1

 Guide de planification de l'enseignant

 Remarque : supprimez le guide de planification de cette présentation avant de la partager.

11.1.2.6 Exercice interactif Identifier l'impact de la technologie sur la sécurité et la surveillance

11.2.3.11 Packet Tracer Consigner des informations à partir de plusieurs sources

11.3.1.1 Travaux pratiques Configurer un environnement avec plusieurs machines virtuelles

11.3.1.1 Démonstration vidéo Configurer un environnement avec plusieurs machines virtuelles

 Passer en revue les protocoles fréquemment utilisés.

 Passer en revue les technologies de sécurité courantes.

 Se familiariser avec les types de données enregistrées dans les journaux.

• Section 11.1.1.1 https://syslog-ng.com/open-source-log-management

CCNA Cybersecurity Operations v1.1

 11.2 Les fichiers journaux

 Les données relatives aux transactions comprennent les

 Cisco Cognitive Threat Analytics est un outil NSM.

Journaux du serveur web

 Le système Cisco de prévention des intrusions nouvelle génération offre davantage de

210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :

 Domaine 4 : concepts de sécurité

210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :

 Domaine 5 : surveillance la sécurité

210-255 SECFND - Mise en œuvre des opérations en cybersécurité Cisco :

 Domaine 2 : analyse d'une intrusion réseau

• 2.3 Identification des éléments de l'enregistrement Netflow v5 d'un événement lié à la

Vous aimerez peut-être aussi