Analyse forensics
Description
Développer des bonnes pratiques en cas d'intrusion d'un système : comment réagir en cas d’attaque pour garder les preuves intactes, comment les collecter et comment les analyser.
Cette formation s'adresse à toute personne occupant un poste d’administration ou de support système et/ou réseau.
What are the aims of the training?
- Avoir en tête les bons réflexes à avoir en cas d'attaque avérée.
- Savoir collecter les preuves d'une attaque.
- Pouvoir analyser après coup l'attaque pour en comprendre les causes et conséquences.
- Applications des principes au réseau, à des système Windows et Linux.
What do you need to know to follow the training?
Cette formation nécessite un niveau intermédiaire dans les postes repris dans le descriptif.
Training programme
Jour 1 : Préparation
L'élément clé pour pouvoir enquêter sur un incident de sécurité est d'être capable de le détecter le plus tôt possible. Pour ce faire, l'infrastructure doit être configurée pour traiter les données générées par les différents composants (serveurs, appareils, applications, endpoints, ...).
La première journée sera consacrée aux éléments clés à collecter et à traiter pour faciliter la détection des incidents, ainsi qu'aux outils et techniques de base pour les mettre en oeuvre :
- Journaux du reseau (network logs)
- Journaux DNS (DNS logs)
- Journaux de trafic (pcaps, net flow, …) (Traffic logs)
- Journaux de proxy, journaux web (Proxy logs, web logs)
- Authentification
Le processus de traitement des incidents sera expliqué avec les étapes clés. Introduction aux outils et techniques.
Jour 2 : Windows
- Comment configurer les journaux d'événements de Windows et les exporter vers une solution centrale ?
- Journaux intéressants (log)
- Où chercher les informations intéressantes (MFT, registre, système de fichiers, logs)
- Accéder au serveur, prendre une image du disque, une image de la mémoire
Jour 3 : Linux
- Comment configurer les journaux d'événements de Linux et les exporter vers un emplacement central ?
- Journaux intéressants (log)
- Où chercher des informations intéressantes