Découvrez notre formationInvestigation numérique réseaux (Network Forensics)
Présentiel
3 jours (21 heures) - SEC-INFRES
Accueil › Formations Informatique › Cybersécurité › Sécurité défensive › Investigation numérique réseaux (Network Forensics)
Objectifs pédagogiques
- Acquérir les compétences et la méthodologie pour une investigation numérique sur du réseau TCP/IP.
Niveau requis
Avoir des connaissance sur l'OS Windows, TCP/IP, Linux.
Public concerné
Administrateurs, analystes SOC et ingénieurs sécurité.
Partenaire / éditeur
Tours23/03/20201 980 € HTDates proposées dans les agences M2i
Orléans23/03/20201 980 € HTDates proposées dans les agences M2i
Bordeaux23/03/20201 980 € HTDates proposées dans les agences M2i
Blois23/03/20201 980 € HTDates proposées dans les agences M2i
Sessions
planifiéesSessions
ouvertesSessions
confirméesRéserver
le stage
Programme
3 jours (21 heures)
Jour 1
Introduction à la cybersécurité
- La "cybersécurité" d'avant
- Présentation du programme Creeper
- Présentation du projet Rabbit
- La cybersécurité d'aujourd'hui et ses risques (Wannacry, Stuxnet)
- La dangerosité des données numériques
- Qui sont les responsables ? Quelles motivations ont-ils?
- Classification des risques selon le gouvernement français
Le monde de l'investigation
- Introduction et approche du Forensic
- Présentation de la timeline historique
- Les objectifs en infosec
- Définition et étymologie du terme
- Présentations des dérivés de la discipline
- Les organismes référents en la matière, tels que l'ENISA et le SANS
- Présentation des cinq principes fondamentaux
- Définition de la méthodologie OSCAR
- Liaisons avec le computer Forensic
- Liaisons avec le memory Forensic
- Liaisons avec le mobil Forensic
Enregistrement et surveillance
- Sources utiles d'analyse basées sur l'hôte
- Sources utiles d'analyse basées sur le réseau
- La technologie SIEM (SEM / SIM)
Les différents types de données
- Définitions des données volatiles et non volatiles
- Les données complètes
- Les données de session
- Les données d'alerte
- Les métadonnées
Acquisition des preuves et sondes
- Approche légale
- Les différents types d'acquisitions
- Les acquisitions par câble et les sondes
- Les acquisitions sans fil et les modes de capture
- Les acquisitions offensives
Rappel des bases réseau
- Rappels sur le modèle OSI (Open Systems Interconnection)
- Rappels sur le modèle TCP/IP
- Les différents matériels réseau
- Définitions et exemples
- IPS (Intrusion Prevention System)
- IDS (Intrusion Detection System)
- WIDS (Wireless Intrusion Detection System)
- Rappels sur les protocoles
- DHCP (Dynamic Host Configuration Protocol)
- DNS (Domain Name System)
- ARP (Address Resolution Protocol)
- HTTP / HTTPS
Présentation des outils connus
- Les outils de capture de paquets, tels que TCPDump / Dumpcap
- SIEM : détection prévention d'intrusion tel que AlienVault
- Les analyseurs de flux, tels que Argus
- Network Incident Detection System, tel que Snort
- Les outils d'analyse à grande échelle, tels que Moloch et Wireshark
Wireshark
- Présentation de l'interface de Wireshark
- Les différentes options de capture
- Présentation de la barre d'outil Wireshark
- Les règles de coloration sous Wireshark
- Les filtres d'affichage
- Les profils sous Wireshark
- Effectuer des recherches avancées
- Les filtres de capture
- Les filtres Berkeley Packets Filter
- Les boutons raccourcis de Wireshark
- Export des données et enregistrement de fichier
- Le bouton de pré-analyse WireShark
- Utilisation des statistiques
Exemples de travaux pratiques (à titre indicatif)
- Créer ses propres règles de coloration
- Elaborer ses propres filtres rapides
- Créer de profils adaptés aux besoins
- Elaborer ses propres boutons
Jour 2
Exemples de travaux pratiques (à titre indicatif) - Suite
- Prise en main de Wireshark
- Lancement des investigations (liées aux précédents travaux pratiques)
Le rapport d'investigation
- Comprendre le déroulé d'une attaque avec le MITRE - ATT&CK
- Rédaction du contexte
- Création de schéma de la typologie réseau
- Présentation des preuves et hash d'intégrité
- Rédaction des processus d'analyse
- Edition de la timeline des évènements
- Rédaction de la conclusion
- Emettre des recommandations
Exemples de travaux pratiques (à titre indicatif) : analyse réseau
- Identifier
- Une erreur de type ARP Storm
- Une attaque DHCP Starvation
- Une attaque ARP spoofing
- Un Scan réseau
- Une exfiltration de données
- Un téléchargement via torrent
Jour 3
Exemples de travaux pratiques (à titre indicatif) - Suite
- Etude de cas réels d'entreprise
- Analyse de captures réseau
- Utilisation des outils, méthodes et techniques
- Rédaction d'un rapport Forensic en réponse aux problèmes posés
Exemples de travaux pratiques (à titre indicatif) : installation, utilisation et détection via SIEM
- Mise en place du LAB
- Installation de AlienVault
- Configuration de l'OSSIM
- Détection et configuration des hôtes
- Mise en place d'agents sur les clients
- Détection de vulnérabilités
- Détection d'une attaque par exploit