SIEM et Veille Technologique Sécurité

Maîtrisez votre gestion d'évènements et restez au cœur de l'actualité en mettant en œuvre une veille efficace

SIEM et Veille Technologique Sécurité

Ce cours est un guide pratique visant à présenter les technologies défensives autour de la terminologie SIEM et de la détection d'intrusion. Le contenu est indépendant de tout constructeur et vise à donner une vue globale et impartiale, sur les aspects fonctionnels et techniques. L'objectif est de fournir au stagiaire les outils et les connaissances nécessaires pour aborder un marché où les solutions sont multiples, complexes et parfois difficiles à discerner.
Nous étudierons la mise en place de sondes de détection d'intrusion autour des solutions Suricata et OSSEC. Les stagiaires apprendront notamment à écrire des règles de détection Snort et OSSEC. Nous apprendrons ensuite comment centraliser et gérer les journaux en provenance de ces sondes et d'autres sources des systèmes d'exploitation.
Après un bref rappel des menaces contemporaines et des défis posés aux équipes de supervision comme aux outils historiques, nous nous attacherons enfin à décrire le fonctionnement d'une solution SIEM et de ses avantages dans le cadre de la gestion de ces évènements.
Nous réaliserons la mise en pratique des connaissances sur une plateforme libre, au code source ouvert, et très en vogue : ELK (Elastic Search, Logstash, Kibana).
De plus ce cours sera accompagné par une présentation des méthodes de mise en place d'une veille technologique efficace et organisée. La démonstration d'outils collaboratifs offrant la possibilité d'échanger simplement des informations cruciales sur l'émergence de nouvelles vulnérabilités et de techniques d'attaque. L'information étant n'importe où, des techniques de recherche avancées seront exposées.
En somme, cette formation permettra de faire un tour des points-clé à retenir dans le cadre d'un appel d'offre pour choisir la solution du marché la plus adaptée à son besoin.

Objectifs

  • Devenir efficace dans la veille technologique
  • Obtenir les clés pour monter une équipe de veille au sein d’une organisation
  • Comprendre les limites des outils de sécurité classiques
  • Découvrir les principes technologiques derrière l'acronyme SIEM
  • Apprendre à détecter les menaces parmi un grand volume d'information
S'inscrire à cette formation
  • Informations générales

    • Code : SIEMVTS
    • Durée : 5 jours
    • Prix : 3190 € HT
    • Horaires : 9h30 - 17h30
    • Lieu : Levallois-Perret (92)

  • Prochaines dates

    Formations : 13 nov. 2017 , 9 avr. 2018 , 15 oct. 2018

  • Public visé

    • Consultants en sécurité
    • Ingénieurs / Techniciens
    • Responsables techniques
  • Pré-requis

    • Maîtrise de l'administration Linux
    • Bonnes connaissances réseau / système
    • Notions de Scripting
  • Ressources

    • Support de cours
    • 1 PC par personne / Internet
    • Environnement de démonstration (plateformes virtualisées Linux et Windows)
    • Clé USB 32 Go fournie et offerte
  • Formations associées

Programme

Jour 1

Veille Technologique
  • Enjeux de la veille technologique
  • Objectifs propres à la cybersécurité
  • Définition d’une vulnérabilité
  • Définition de l’exploitation
  • Types de mesures correctives
  • Base de données CVE et score CVSS
  • Sources d’information (listes de diffusion Twitter, Reddit, etc.)
  • Flux RSS (Tiny Tiny RSS)
  • Automatisation (Google Alerts, Zapier, Netvibes)
  • Organisation d’une équipe de veille (CERT, CSIRT, ENISA)

Jour 2

Rôle de la détection d'intrusion
Terminologie
  • Faux-positifs, détection, prévention, etc.
Architecture et types d'IDS
Présentation de l'IDS Suricata
Déploiement et configuration de base
Langage d'écriture de règles
Journalisation via Syslog
TP
  • Mise en place d'une architecture IDS virtualisée : firewall, cible, attaquant
  • Jeu d'attaques et création de règles de détection (scans, bruteforce, exploitation de vulnérabilité)

Jour 3

Présentation du HIDS OSSEC et architecture
Déploiement et configuration de base
Syntaxe d'écriture de règles
TP
  • Ecriture de règles
Limites des IDS
Intégration avec les autres composants du SI
Points importants dans le cadre d'un appel d'offre

Jour 4

Défis modernes posés à la supervision classique
  • Objectifs d'un SIEM
  • Architecture et fonctionnalités
  • Syslog et centralisation des journaux
  • Synchronisation du temps (NTP)
  • Présentation d'ELK
  • Configuration avancée de Logstash

Jour 5

TP
  • Configuration d'agents Logstash
  • Ecritures de Groks avancés
  • Environnement hétérogène : Linux, Windows
Visualisation des résultats dans Kibana
Conclusion
  • Discussions sur les solutions alternatives
  • Préparation des points-clés pour un appel d'offre