Formation Investigation numérique réseaux (Network Forensics) – Centre de formation M2i
M2i Formation

Découvrez notre formationInvestigation numérique réseaux (Network Forensics)

Présentiel

3 jours (21 heures) - SEC-INFRES

Accueil  ›  Formations Informatique  ›  Cybersécurité  ›  Sécurité défensive  ›  Investigation numérique réseaux (Network Forensics)

Objectifs pédagogiques

  • Acquérir les compétences et la méthodologie pour une investigation numérique sur du réseau TCP/IP.

Niveau requis

Avoir des connaissance sur l'OS Windows, TCP/IP, Linux.

Public concerné

Administrateurs, analystes SOC et ingénieurs sécurité.

Partenaire / éditeur

Nancy23/03/20201 980 € HTDates proposées dans les agences M2iRéserver
Strasbourg23/03/20201 980 € HTDates proposées dans les agences M2iRéserver
Reims23/03/20201 980 € HTDates proposées dans les agences M2iRéserver
Metz23/03/20201 980 € HTDates proposées dans les agences M2iRéserver

Afficher plus de dates

Sessions
planifiées
Sessions
ouvertes
Sessions
confirmées
Réserver
le stage

Jour 1

Introduction à la cybersécurité

  • La "cybersécurité" d'avant
  • Présentation du programme Creeper
  • Présentation du projet Rabbit
  • La cybersécurité d'aujourd'hui et ses risques (Wannacry, Stuxnet)
  • La dangerosité des données numériques
  • Qui sont les responsables ? Quelles motivations ont-ils?
  • Classification des risques selon le gouvernement français

Le monde de l'investigation

  • Introduction et approche du Forensic
  • Présentation de la timeline historique
  • Les objectifs en infosec
  • Définition et étymologie du terme
  • Présentations des dérivés de la discipline
  • Les organismes référents en la matière, tels que l'ENISA et le SANS
  • Présentation des cinq principes fondamentaux
  • Définition de la méthodologie OSCAR
  • Liaisons avec le computer Forensic
  • Liaisons avec le memory Forensic
  • Liaisons avec le mobil Forensic

Enregistrement et surveillance

  • Sources utiles d'analyse basées sur l'hôte
  • Sources utiles d'analyse basées sur le réseau
  • La technologie SIEM (SEM / SIM)

Les différents types de données

  • Définitions des données volatiles et non volatiles
  • Les données complètes
  • Les données de session
  • Les données d'alerte
  • Les métadonnées

Acquisition des preuves et sondes

  • Approche légale
  • Les différents types d'acquisitions
  • Les acquisitions par câble et les sondes
  • Les acquisitions sans fil et les modes de capture
  • Les acquisitions offensives

Rappel des bases réseau

  • Rappels sur le modèle OSI (Open Systems Interconnection)
  • Rappels sur le modèle TCP/IP
  • Les différents matériels réseau
  • Définitions et exemples
    • IPS (Intrusion Prevention System)
    • IDS (Intrusion Detection System)
    • WIDS (Wireless Intrusion Detection System)
  • Rappels sur les protocoles
    • DHCP (Dynamic Host Configuration Protocol)
    • DNS (Domain Name System)
    • ARP (Address Resolution Protocol)
    • HTTP / HTTPS

Présentation des outils connus

  • Les outils de capture de paquets, tels que TCPDump / Dumpcap
  • SIEM : détection prévention d'intrusion tel que AlienVault
  • Les analyseurs de flux, tels que Argus
  • Network Incident Detection System, tel que Snort
  • Les outils d'analyse à grande échelle, tels que Moloch et Wireshark

Wireshark

  • Présentation de l'interface de Wireshark
  • Les différentes options de capture
  • Présentation de la barre d'outil Wireshark
  • Les règles de coloration sous Wireshark
  • Les filtres d'affichage
  • Les profils sous Wireshark
  • Effectuer des recherches avancées
  • Les filtres de capture
  • Les filtres Berkeley Packets Filter
  • Les boutons raccourcis de Wireshark
  • Export des données et enregistrement de fichier
  • Le bouton de pré-analyse WireShark
  • Utilisation des statistiques

Exemples de travaux pratiques (à titre indicatif)

  • Créer ses propres règles de coloration
  • Elaborer ses propres filtres rapides
  • Créer de profils adaptés aux besoins
  • Elaborer ses propres boutons

Jour 2

Exemples de travaux pratiques (à titre indicatif) - Suite

  • Prise en main de Wireshark
  • Lancement des investigations (liées aux précédents travaux pratiques)

Le rapport d'investigation

  • Comprendre le déroulé d'une attaque avec le MITRE - ATT&CK
  • Rédaction du contexte
  • Création de schéma de la typologie réseau
  • Présentation des preuves et hash d'intégrité
  • Rédaction des processus d'analyse
  • Edition de la timeline des évènements
  • Rédaction de la conclusion
  • Emettre des recommandations

Exemples de travaux pratiques (à titre indicatif) : analyse réseau

  • Identifier
    • Une erreur de type ARP Storm
    • Une attaque DHCP Starvation
    • Une attaque ARP spoofing
    • Un Scan réseau
    • Une exfiltration de données
    • Un téléchargement via torrent

Jour 3

Exemples de travaux pratiques (à titre indicatif) - Suite

  • Etude de cas réels d'entreprise
  • Analyse de captures réseau
  • Utilisation des outils, méthodes et techniques
  • Rédaction d'un rapport Forensic en réponse aux problèmes posés

Exemples de travaux pratiques (à titre indicatif) : installation, utilisation et détection via SIEM

  • Mise en place du LAB
  • Installation de AlienVault
  • Configuration de l'OSSIM
  • Détection et configuration des hôtes
  • Mise en place d'agents sur les clients
  • Détection de vulnérabilités
  • Détection d'une attaque par exploit

Complétez votre formation