Formation Sécurité : Analyse inforensique Windows

Référence : SECAIW
Durée : 35 heures
Certification : Non
Eligible CPF : Non

RÉSUMÉ

Apprendre à investiguer sans aide extérieure des postes de travail et produire des preuves opposables en justice. Les raisons ne manquent pas de vouloir effectuer une analyse inforensique : Collaborateur indélicat ayant volé des documents interne de valeur - Intrusion d’un poste suite à une erreur d’un utilisateur - Compromission d’un serveur. Quelle que soit la raison,cette formation vous apprendra à analyser les différents artefacts inforensiques et finalement créer une frise chronologique de l’incident.

CONNAISSANCES PREALABLES

Avoir de solides bases en sécurité des systèmes d'information

PROFIL DES STAGIAIRES

1-Personnes souhaitant apprendre à réaliser des investigations numériques
2-Personnes souhaitant se lancer dans l'inforensique
3-Administrateurs système Windows
4-Experts de justice en informatique

OBJECTIFS

Gérer une investigation numérique sur un ordinateur Windows
Avoir les bases de l'analyse numérique sur un serveur Web
Acquérir les médias contenant l'information
Trier les informations pertinentes et les analyser
Utiliser les logiciels d'investigation numérique
Maîtriser le processus de réponse à incident

METHODES PEDAGOGIQUES

Mise à disposition d’un poste de travail par participant
Remise d’une documentation pédagogique papier ou numérique pendant le stage
La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions

METHODES D'EVALUATION DES ACQUIS

Auto-évaluation des acquis par le stagiaire via un questionnaire
Attestation de fin de stage adressée avec la facture

FORMATEUR

Consultant-Formateur expert Inforensique

CONTENU DU COURS Inforensique

1 - Présentation de l’inforensique

Périmètre de l’investigation
Présentation de l’inforensique
Évènements / antivirus / autres logiciels
Analyse des journaux
Les structures de registres Windows : Utilisateurs
Registres Windows
Aléas du stockage flash
Sauvegardes et Volume Shadow Copies
Recherche de données supprimées
Gestion des supports chiffrés
Acquisition des données : Persistante et volatile
Horodatages des fichiers
Introduction aux systèmes de fichiers
Disques durs
Analyse Post-mortem
Méthodologie « First Responder »
Trousse à outil

2 - Scénario d’investigation

Utilisateurs abusés par des logiciels malveillants
Journaux SMTP : Acquisition coté serveur
Courriels
Périphérique USB
Carving
Exfiltration d’informations
HTML5
Photographies (données Exifs)
Géolocalisation
Fichiers supprimés et espace non alloué
Traces de manipulation de fichiers et de dossiers
Exécution de programmes
Téléchargement/Accès à des contenus confidentiels
Points d’accès WiFi

3 - Interaction sur Internet

Office 365
Bases de l’analyse de la RAM : Conversion des hyberfiles.sys
Présentation des principaux artefacts
Traces sur les AD Windows
Sharepoint
IE/Edge / Firefox
Utilisation des Navigateurs Internet

4 - Inforensique Linux

Les bases de l’inforensique sur un poste de travail Linux »
Les bases de l’inforensique sur un serveur Linux : Journaux serveurs Web & Corrélations avec le système de gestion de fichiers
Création et analyse d’une frise chronologique du système de fichier