Formation Analyse inforensique avancée

Référence : SECINFAV
Durée : 35 heures
Certification : Non
Eligible CPF : Non

RÉSUMÉ

La vraisemblance que votre entreprise ou que vos clients soient la victime d’une intrusion est importante. L’objectif de la formation est alors de vous préparer au mieux en vous présentant des techniques et des outils permettant de répondre à un incident de sécurité (du simple prestataire malveillant à des attaques plus complexes). L’ensemble de la formation sera réalisée autours d’un cas fictif d’une compromission d’une entreprise de taille intermédiaire afin de présenter les procédures et techniques à mettre en place permettant d’être scalable en fonction de la taille de votre entreprise.

CONNAISSANCES PREALABLES

1-Avoir une bonne expérience opérationnelle en informatique
2-Avoir une expérience en analyse post-mortem sous Windows et maitriser le processus d'investigation sur un poste Windows

PROFIL DES STAGIAIRES

1-Investigateurs numériques souhaitant progresser
2-Analystes des SOC et CSIRT (CERT)
3-Administrateurs système, réseau et sécurité
4-Experts de justice en informatique

OBJECTIFS

Appréhender la corrélation des évènements
Retro-concevoir des protocoles de communications
Analyser des systèmes de fichiers corrompus
Connaître et analyser la mémoire volatile des systèmes d'exploitation

METHODES PEDAGOGIQUES

6 à 12 personnes maximum par cours, 1 poste de travail par stagiaire
Remise d’une documentation pédagogique papier ou numérique pendant le stage
La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions

METHODES D'EVALUATION DES ACQUIS

Auto-évaluation des acquis par le stagiaire via un questionnaire
Attestation de fin de stage adressée avec la facture

FORMATEUR

Consultant-Formateur expert Inforensique

CONTENU DU COURS Inforensique

1 - Introduction à l’inforensique réseau

Incident de sécurité
Présentation : Quelles sont les étapes d’une intrusion ? Quels sont les impacts de celles-ci ?
Indices de compromission (IOC) : Introduction au threat intel (Misp, Yeti, etc.)
Hunting & Triage (à distance ou en local) : GRR

2 - Analyse post-mortem réseau

Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feux, Syslog)
Analyse de capture réseau (PCAP)
Analyse statistique des flux (Netflow)
Canaux de communications avec les serveurs de Command and Control
Détection des canaux de communications cachées (ICMP, DNS)
Détection des techniques de reconnaissances
Création de signatures réseaux

3 - Mémoire volatile

Introduction aux principales structures mémoires
Analyse des processus : Processus « cachés »
Shellcode – détection et analyse du fonctionnement
Handles
Communications réseaux
Kernel : SSDT, IDT, Memory Pool
Utilisation de Windbg : Création de mini-dump

4 - FileSystem (NTFS only)

Introduction au FS NTFS et aux différents artefacts disponibles
Présentation de la timerules sous Windows/Linux/OSX
Timeline filesystem : Timestomping + toutes les opérations pouvant entravers une timeline « only fs »

5 - Trace d’exécution et mouvement latéraux

Trace de persistances : Autostart (Linux/Windows/OSX)
Active Directory – Détecter une compromission : Comment générer une timeline des objets AD ? Recherche de « backdoor » dans un AD (bta, autres outils, …)