Objectifs de formation
A l'issue de cette formation, vous serez capable de :
- Déployer et maintenir différents outils de prévention et de détection d'intrusion
- Paramétrer et fine-tuner des systèmes de détection et d'alerte
- Organiser et centraliser les alertes pour un SIEM
- Identifier les raisons de déclenchement d'une règle ou d'un faux positif.
Prérequis
Avoir des connaissances générales en système, réseau et développement.
Public concerné
Pentesters, administrateurs système et réseau, analystes SOC, responsables de la sécurité des systèmes d'information (RSSI), consultants en cybersécurité et étudiants en sécurité informatique.
Programme
Jour 1
Introduction aux IPS et IDS
- Les principaux dispositifs de sécurité dans le système d'information
- Le rôle des IPS et des IDS
- Le positionnement des IPS et des IDS
- Les différents types d'IPS et d'IDS
- Les différentes technologies clés
- Signature
- Comportementale
- Heuristique...
- Les produits communautaires et commerciaux
Composants et architecture
- Les composants clés
- Capteurs
- Gestionnaires
- Consoles
- Bases de données...
- Le déploiement dans l'architecture réseau et placement stratégique des capteurs
- Les interactions avec d'autres systèmes de sécurité
- Firewalls
- Systèmes de gestion des logs
- SIEM...
- Les IPS et IDS dans le Cloud
Types de détections
- La détection basée sur :
- Les signatures
- L'anomalie
- L'état
- Les avantages et limites de chaque méthode
Exemples de travaux pratiques (à titre indicatif)
- Installation et découverte des paramètres d'un H-IPS
- Installation et découverte des paramètres d'un N-IDS
Jour 2
Configuration, gestion et analyse des alertes
- Les paramètres de base d'un IPS et d'un IDS
- Les principales règles d'un IPS
- Les principales règles d'un IDS
- Les règles par défaut
- Le paramétrage avancé
- Les règles compilées
- Les préprocesseurs
- Les dissecteurs et analyseurs
- La personnalisation des règles
- Le format des règles
- L'historisation des alertes
- L'analyse des alertes
- Tri
- Hiérarchisation
- Réponse
- L'intégration avec les systèmes de ticketing et les procédures de réponse aux incidents
Exemples de travaux pratiques (à titre indicatif)
- Création de règles de surveillance pour le système d'exploitation
- Création de règles de surveillance pour les protocoles d'infrastructure
- Création de règles de surveillance pour un serveur applicatif
- Création d'une politique d'historisation et de remontée des alertes
- Déploiement d'une solution IDS pour les domaines Microsoft
- Création d'une politique d'audit et historisation des événements d'importance
Maintenance et mise à jour
- Processus de mise à jour des signatures et des algorithmes
- Surveillance de la performance et du bon fonctionnement
- Techniques de troubleshooting
Exemple de travaux pratiques (à titre indicatif)
- Création d'une "update policy" et d'une "patch management policy" pour les IPS et IDS déployés
Jour 3
Techniques avancées de détection
- Les principales techniques d'évasion
- La détection de l'évasion et les techniques anti-évasion
- L'intégration de l'Intelligence Artificielle (IA) et de l'apprentissage automatique
- L'analyse comportementale approfondie
- Le EndPoint Protection
Exemples de travaux pratiques (à titre indicatif)
- Création de paquets avec signature d'attaque et évasion d'un IDS
- Création d'un pont MITM pour SSL/TLS
- Modification de la politique de surveillance des IPS et des IDS pour échapper aux "protocols violations"
- Installation et paramétrage d'une solution EDR / XDR
Personnalisation et optimisation
- Développement de signatures personnalisées
- Optimisation des règles pour réduire les faux positifs
- Adaptation des systèmes IDS / IPS à des environnements spécifiques
- Gouvernement
- Finance...
Exemples de travaux pratiques (à titre indicatif)
- Création de règles spécifiques pour bloquer les paquets d'évasion du module précédent
- Création d'une politique de sécurité pour un environnement virtuel ou conteneurisé
- Création d'une règle pour bloquer un malware créé par le formateur
Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.
Modalités, méthodes et moyens pédagogiques
Formation délivrée en présentiel ou distanciel* (blended-learning, e-learning, classe virtuelle, présentiel à distance).
Le formateur alterne entre méthode** démonstrative, interrogative et active (via des travaux pratiques et/ou des mises en situation).
Variables suivant les formations, les moyens pédagogiques mis en oeuvre sont :
- Ordinateurs Mac ou PC (sauf pour certains cours de l'offre Management), connexion internet fibre, tableau blanc ou paperboard, vidéoprojecteur ou écran tactile interactif (pour le distanciel)
- Environnements de formation installés sur les postes de travail ou en ligne
- Supports de cours et exercices
En cas de formation intra sur site externe à M2i, le client s'assure et s'engage également à avoir toutes les ressources matérielles pédagogiques nécessaires (équipements informatiques...) au bon déroulement de l'action de formation visée conformément aux prérequis indiqués dans le programme de formation communiqué.
* nous consulter pour la faisabilité en distanciel
** ratio variable selon le cours suivi
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation
Accessibilité de la formation
Le groupe M2i s'engage pour faciliter l'accessibilité de ses formations. Toutes nos formations sont accessibles aux personnes en situation de handicap : les détails de l'accueil des personnes sont consultables sur la page Accueil PSH.
Modalités et délais d’accès à la formation
Les formations M2i sont disponibles selon les modalités proposées sur la page programme. Les inscriptions sont possibles jusqu'à 48 heures ouvrées avant le début de la formation. Dans le cas d'une formation financée par le CPF, ce délai est porté à 11 jours ouvrés.