Mise en place d'un SIEM

Maîtrisez votre gestion d'évènements

Mise en place d'un SIEM

Ce cours est un guide pratique visant à présenter les technologies défensives autour de la terminologie SIEM et de la détection d'intrusion. Le contenu est indépendant de tout constructeur et vise à donner une vue globale et impartiale, sur les aspects fonctionnels et techniques. L'objectif est de fournir au stagiaires les outils et les connaissances nécessaires pour aborder un marché où les solutions sont multiples, complexes et parfois difficiles à discerner.

Nous étudions dans un premier temps la mise en place de sondes de détection d'intrusion autour des solutions Suricata et OSSEC. Les stagiaires apprennent notamment à écrire des règles de détection Snort et OSSEC.

Nous apprenons ensuite comment centraliser et gérer les journaux en provenance de ces sondes et d'autres sources des systèmes d'exploitation.
Après un bref rappel des menaces contemporaines et des défis posés aux équipes de supervision comme aux outils historiques, nous nous attachons enfin à décrire le fonctionnement d'une solution SIEM et de ses avantages dans le cadre de la gestion de ces évènements.
Nous réalisons la mise en pratique des connaissances sur une plateforme libre, au code source ouvert, et très en vogue : ELK (Elastic Search, Logstash, Kibana).
En conclusion, nous faisons un tour des points-clé à retenir dans le cadre d'un appel d'offre pour choisir la solution du marché la plus adaptée à son besoin.

Objectifs

  • Comprendre les limites des outils de sécurité classiques
  • Découvrir les principes technologiques derrière l'acronyme SIEM
  • Apprendre à détecter les menaces parmi un grand volume d'information
S'inscrire à cette formation
  • Informations générales

    • Code: MSIEM
    • Durée: 4 jours
    • Prix: 2400 € HT
    • Horaires : 9h30 - 17h30
    • Lieu : Levallois-Perret (92)

  • Prochaines dates

    Formations : 14 nov. 2017 , 10 avr. 2018 , 16 oct. 2018

  • Public visé

    • Consultants en sécurité
    • Ingénieurs / Techniciens
    • Responsables techniques
  • Pré-requis

    • Maîtrise de l'administration Linux
    • Bonnes connaissances réseau / système
    • Notions de Scripting
  • Ressources

    • Support de cours
    • 1 PC par personne / Internet
    • Environnement de démonstration (plateformes virtualisées Linux et Windows)
    • Clé USB 32 Go fournie et offerte
  • Formations associées

Programme

Jour 1

Rôle de la détection d'intrusion
Terminologie
  • Faux-positifs, détection, prévention, etc.
Architecture et types d'IDS
Présentation de l'IDS Suricata
Déploiement et configuration de base
Langage d'écriture de règles
Journalisation via Syslog
TP
  • Mise en place d'une architecture IDS virtualisée : firewall, cible, attaquant
  • Jeu d'attaques et création de règles de détection (scans, bruteforce, exploitation de vulnérabilité)

Jour 2

Présentation du HIDS OSSEC et architecture
Déploiement et configuration de base
Syntaxe d'écriture de règles
TP
  • Ecriture de règles
Limites des IDS
Intégration avec les autres composants du SI
Points importants dans le cadre d'un appel d'offre

Jour 3

Défis modernes posés à la supervision classique
  • Objectifs d'un SIEM
  • Architecture et fonctionnalités
  • Syslog et centralisation des journaux
  • Synchronisation du temps (NTP)
  • Présentation d'ELK
  • Configuration avancée de Logstash

Jour 4

TP
  • Configuration d'agents Logstash
  • Ecritures de Groks avancés
  • Environnement hétérogène : Linux, Windows
Visualisation des résultats dans Kibana
Conclusion
  • Discussions sur les solutions alternatives
  • Préparation des points-clés pour un appel d'offre