Détection d’intrusion & threat intelligence
Objectif et présentation
- Mettre en œuvre une stratégie de collecte et de détection adaptée à un SI.
- Connaître et maîtriser les bons réflexes en cas d’intrusion.
- Identifier le mode opératoire de la compromission.
- Qualifier l’étendue de cette compromission et évaluer les risques et les impacts associés.
- Préconiser des mesures de remédiation.
Programme
- Le cadre réglementaire et juridique de la détection et réponse à incidents.
- Mise en place d’une stratégie de détection destinée à couvrir les incidents redoutés sur un système d’informations.
- Mise en place d’une stratégie de collecte destinée à capturer les types d’événements pertinents du point de vue de la stratégie de détection, et choix des sources de logs.
- Procédures opérationnelles pour la détection et la réponse à incidents (collaboration entre les équipes SOC et CERT, principe d’escalade, etc.).
- Collecte et analyse des informations (journaux / données / …) sur des systèmes hôtes et serveurs, équipements d’infrastructure et équipements de sécurité.
- Collecte et analyse des informations réseau (NetFlow, sondes NIDS, etc.).
- Mécanismes d’aggregation, d’enrichissements et de corrélation des événements (SIEM).
- Principes de qualification des incidents en vue d’apprécier leur véracité et leur gravité.
- Bonnes pratiques sur la réaction à adopter face aux incidents, et amélioration continue.
- Démarches de remédiation face aux incidents.
Localisation
Dans vos locaux
Volume horaire
Public pré-requis
Equipe de SOC (Security Operation Center).
Avoir des connaissances de base en sécurité des SI et des compétences réseau. La connaissance des systèmes Windows et Linux est un plus.
