Analyse inforensique avancée
Analyse inforensique avancée
Cybersécurité et IA > Cybersécurité
Objectifs
- Appréhender la corrélation des évènements.
- Retro-concevoir des protocoles de communications.
- Analyser des systèmes de fichiers corrompus.
- Connaître et analyser la mémoire volatile des systèmes d'exploitation.
Le programme de la formation
Section 1 : Introduction à l'inforensique réseau
Incident de sécurité
- Présentation
Quels sont les étapes d'une intrusion ?
Quels impacts de celles-ci ?
Indices de compromission (IOC)
- Introduction au threat intel (Misp, Yeti, etc.)
- Quels sont les outils / ressource à disposition ?
- Création d'IOC
Hunting & Triage (à distance ou en local)
- GRR
- Kansa
- OS Query
- Comment analyser et automatiser l'analyse du résultat de notre hunting ?
NSRLDB
Packing/Entropie/, etc…
Section 2 : Analyse post-mortem réseau
Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feux, Syslog)
Analyse de capture réseau (PCAP)
Analyse statistique des flux (Netflow)
Canaux de communications avec les serveurs de Command and Control
Détection des canaux de communications cachées (ICMP, DNS)
Détection des techniques de reconnaissances
Création de signatures réseaux
Section 3 : Mémoire volatile
Introduction aux principales structures mémoires
Analyse des processus
- Processus "cachés"
- Traces d'injection de code et techniques utilisées
- Process-Hollowing
Shellcode - détection et analyse du fonctionnement
Handles
Communications réseaux
Kernel : SSDT, IDT, Memory Pool
Utilisation de Windbg
- Création de mini-dump
- Analyse "live" d'un système
Section 4 : FileSystem (NTFS only)
Introduction au FS NTFS et aux différents artefacts disponibles
Présentation de la timerules sous Windows/Linux/OSX
Timeline filesystem
- Timestomping + toutes les opérations pouvant entravers une timeline "only fs"
Section 5 : Trace d'exécution et mouvement latéraux
Trace de persistances
- Autostart (Linux/Windows/OSX)
- Services
- Tâches planifiées
- WMI
Active Directory - Détecter une compromission
- Comment générer une timeline des objets AD ?
- Recherche de "backdoor" dans un AD (bta, autres outils, ...)
- Présentation des principaux EventID et relations avec les outils d'attaques (golden ticket, etc.)
Section 6 : Super-Timeline
Présentation
- Cas d'utilisations
Timesketch
Section 7 : Quizz de fin de formation
Public et Pré-requis de la formation
Investigateurs numériques souhaitant progresser, Analystes des SOC et CSIRT (CERT), Administrateurs système, réseau et sécurité et Experts de justice en informatique.
Avoir une bonne expérience opérationnelle en informatique.
AAvoir une expérience en analyse post-mortem sous Windows et maitriser le processus d'investigation sur un poste Windows.
Méthode pédagogique de la formation
Cours magistral illustré par des travaux pratiques réguliers.
29 Commentaires
Formation flexible en petit groupe
Très bonne formation! Organisation rapide et on est bien conseillé. Merci up up formation, je recommande fortement!!
Formation intéressante avec de bons échanges et une formatrice à l'écoute.
Merci up up concernant la flexibilite de mon planning
Bien.
Une organisation à la fois simple et professionnelle
bien mais surprenant concernant le paiement
Une formation adaptée à ce que je désirais m’a été trouvée avec succès
Bonne prestation Groupe sympathique
Société professionnelle, bon relationnel
Bonne formation
Simple et concis, une bonne présentation du concept
Je suis très satisfait d’UpUp. Le principe de la mutualisation est malin et très innovant. J’ai pu me former pour le 1/4 du prix initial de la formation. Je recommande.
Je suis particulièrement satisfaite de la formation surtout par la disponibilité de la formatrice et par le contenu du programme.
J'ai découvert cette plateforme très récemment. J'ai trouvé une formation près de chez moi dans le domaine recherché en quelques clics. Simple, efficace et rapide ! merci.
formation adaptée à mes besoins et mes horaires, je recommande vivement
Site clair. Offre complète
Claire facile d'acces ,rapide
Super formation. Merci beaucoup
Je recommande pour la qualité, la réactivité et la précision,
Simple, efficace, pratique !
très bonne formation très agréable merci
Site simple et facile d'utilisation.
Bonne formation
Site convivial facile d'accès et ergonomique prix intéressant
Excellente formation et concept innovant. Je recommande !
Upup est très professionnel, le site ergonomique.
Très clair, moderne et utile. N’hésitez pas à y aller, vous ne serez pas déçu
Un concept innovant. En mutualisant la formation, on assure un minimum de stagiaires par session.