Le SOC (Security Operation Center)

• Qu’est-ce qu’un SOC ?
• A quoi sert-il ? Pourquoi de plus en plus d'entreprises l'utilisent ?
• Les fonctions du SOC : Logging, Monitoring, Reporting audit et sécurité, analyses post incidents.
• Les bénéfices d’un SOC.
• Les solutions pour un SOC.
• Le SIM (Security Information Management).
• Le SIEM (Security Information and Event Management).
• Le SEM (Security Event Management).
• Exemple d’une stratégie de monitoring.

Le métier de l’analyste SOC

• En quoi consiste le métier de l’analyste SOC ?
• Quelles sont ses compétences ?
• Monitorer et trier les alertes et les événements.
• Savoir prioriser les alertes.

La collecte des informations

• L'hétérogénéité des sources. Qu'est-ce qu'un événement de sécurité ?
• Le Security Event Information Management (SIEM). Les événements collectés du SI.
• Les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.).
• La collecte passive en mode écoute et la collecte active.

Optimiser la sécurité du SI : outils, bonnes pratiques, pièges à éviter

• Panorama des solutions et des produits.
• Syslog.
• Le programme SEC.
• Le logiciel Splunk.
• La législation française.

La détection d’intrusion, principales problématiques

• Bien comprendre les protocoles réseaux (TCP, UDP, ARP, ICMP, routeurs, firewall, proxy… ).
• Les attaques sur TCP/IP (spoofing, déni de service, vol de session, attaque SNMP… ).
• Intelligence Gathering, recherche de traces, scans de réseaux.
• Les trojans, les backdoors, bugs des navigateurs, les « Covert Channels », les agents de déni de service distribués...
• Attaques et exploitation des failles (prise de contrôle, DDoS, buffer overflow, RootKits... ).

Comment gérer un incident ?

• Les signes d'une intrusion réussie dans un SI.
• Qu'ont obtenu les hackers ? Jusqu'où sont-ils allés ?
• Comment réagir face à une intrusion réussie ?
• Quels serveurs sont concernés ?
• Savoir retrouver le point d'entrée et le combler.
• La boîte à outils Unix/Windows pour la recherche de preuves.
• Nettoyage et remise en production de serveurs compromis.

Analyser les incidents pour mieux se protéger : l’analyse forensic

• Informatique judiciaire : types de crimes informatiques, rôle de l’enquêteur informatique.
• La cybercriminalité moderne.
• La preuve numérique.

Analyse forensic d’un système d’exploitation Windows

• Acquisition, analyse et réponse.
• Compréhension des processus de démarrage.
• Collecter les données volatiles et non volatiles.
• Fonctionnement du système de mot de passe, du registre Windows.
• Analyse des données contenues dans la mémoire vive, des fichiers Windows.
• Analyse du cache, cookie et historique de navigation, historique des événements.