L'ajout de cookie est désactivé sur votre navigateur, vous devez l'activer pour pouvoir naviguer sur ce site internet.
UpUp, la 1ère plateforme de mutualisation de formations.

Analyse inforensique avancée

Formation cybersécurité

Analyse inforensique avancée

Cybersécurité et IA > Cybersécurité

Objectifs

  • Appréhender la corrélation des évènements.
  • Retro-concevoir des protocoles de communications.
  • Analyser des systèmes de fichiers corrompus.
  • Connaître et analyser la mémoire volatile des systèmes d'exploitation.

Le programme de la formation

Section 1 : Introduction à l'inforensique réseau

 

Incident de sécurité

  • Présentation

Quels sont les étapes d'une intrusion ?
Quels impacts de celles-ci ?
Indices de compromission (IOC)

  • Introduction au threat intel (Misp, Yeti, etc.)
  • Quels sont les outils / ressource à disposition ?
  • Création d'IOC

Hunting & Triage (à distance ou en local)

  • GRR
  • Kansa
  • OS Query
  • Comment analyser et automatiser l'analyse du résultat de notre hunting ?

NSRLDB
Packing/Entropie/, etc…

 

Section 2 : Analyse post-mortem réseau

 

Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feux, Syslog)
Analyse de capture réseau (PCAP)
Analyse statistique des flux (Netflow)
Canaux de communications avec les serveurs de Command and Control
Détection des canaux de communications cachées (ICMP, DNS)
Détection des techniques de reconnaissances
Création de signatures réseaux

 

Section 3 : Mémoire volatile

 

Introduction aux principales structures mémoires
Analyse des processus

  • Processus "cachés"
  • Traces d'injection de code et techniques utilisées
  • Process-Hollowing

Shellcode - détection et analyse du fonctionnement
Handles
Communications réseaux
Kernel : SSDT, IDT, Memory Pool
Utilisation de Windbg

  • Création de mini-dump
  • Analyse "live" d'un système

 

Section 4 : FileSystem (NTFS only)

 

Introduction au FS NTFS et aux différents artefacts disponibles
Présentation de la timerules sous Windows/Linux/OSX 
Timeline filesystem

  • Timestomping + toutes les opérations pouvant entravers une timeline "only fs"

 

Section 5 : Trace d'exécution et mouvement latéraux

 

Trace de persistances

  • Autostart (Linux/Windows/OSX)
  • Services
  • Tâches planifiées
  • WMI

Active Directory - Détecter une compromission

  • Comment générer une timeline des objets AD ?
  • Recherche de "backdoor" dans un AD (bta, autres outils, ...)
  • Présentation des principaux EventID et relations avec les outils d'attaques (golden ticket, etc.)

 

Section 6 : Super-Timeline

 

Présentation

  • Cas d'utilisations

Timesketch

 

Section 7 : Quizz de fin de formation

Public et Pré-requis de la formation

Investigateurs numériques souhaitant progresser, Analystes des SOC et CSIRT (CERT), Administrateurs système, réseau et sécurité et Experts de justice en informatique.

 

Avoir une bonne expérience opérationnelle en informatique.
AAvoir une expérience en analyse post-mortem sous Windows et maitriser le processus d'investigation sur un poste Windows.

Méthode pédagogique de la formation

Cours magistral illustré par des travaux pratiques réguliers.

29 Commentaires