Détection d’intrusion & threat intelligence

Objectif et présentation

  • Mettre en œuvre une stratégie de collecte et de détection adaptée à un SI.
  • Connaître et maîtriser les bons réflexes en cas d’intrusion.
  • Identifier le mode opératoire de la compromission.
  • Qualifier l’étendue de cette compromission et évaluer les risques et les impacts associés.
  • Préconiser des mesures de remédiation.

Programme

  • Le cadre réglementaire et juridique de la détection et réponse à incidents.
  • Mise en place d’une stratégie de détection destinée à couvrir les incidents redoutés sur un système d’informations.
  • Mise en place d’une stratégie de collecte destinée à capturer les types d’événements pertinents du point de vue de la stratégie de détection, et choix des sources de logs.
  • Procédures opérationnelles pour la détection et la réponse à incidents (collaboration entre les équipes SOC et CERT, principe d’escalade, etc.).
  • Collecte et analyse des informations (journaux / données / …) sur des systèmes hôtes et serveurs, équipements d’infrastructure et équipements de sécurité.
  • Collecte et analyse des informations réseau (NetFlow, sondes NIDS, etc.).
  • Mécanismes d’aggregation, d’enrichissements et de corrélation des événements (SIEM).
  • Principes de qualification des incidents en vue d’apprécier leur véracité et leur gravité.
  • Bonnes pratiques sur la réaction à adopter face aux incidents, et amélioration continue.
  • Démarches de remédiation face aux incidents.

Localisation

Dans vos locaux

Volume horaire

3 jours

Public pré-requis

Equipe de SOC (Security Operation Center).

Avoir des connaissances de base en sécurité des SI et des compétences réseau. La connaissance des systèmes Windows et Linux est un plus.

Responsables

Amossys

02 99 23 15 79