Formation Mise en place d'un SIEM Maîtrisez votre gestion d'évènements

Cette formation SIEM constitue un guide pratique visant à présenter les technologies défensives autour de la terminologie SIEM et de la détection d'intrusion. Le contenu est indépendant de tout constructeur et vise à donner une vue globale et impartiale, sur les aspects fonctionnels et techniques. L'objectif est de fournir à l'apprenant les outils et les connaissances nécessaires pour aborder un marché où les solutions sont multiples, complexes et parfois difficiles à discerner.

Objectif opérationnel : 

Savoir appréhender les problématiques liées à la détection d'intrusion et leurs limites.

Objectifs pédagogiques :

À l'issue de cette formation SIEM, vous aurez acquis les compétences et connaissances nécessaires pour :

• Traiter des incidents et leur management
• Aborder les problématiques liées à la détection d'intrusion, ainsi que leurs limites
• Mettre en place le Prelude SIEM avec implémentation de sondes SNORT et d'agents HIDS dans un réseau existant
• Prendre les bonnes décisions suite à l'analyse des remontées d'informations et à leur corrélation.

Public :

Ce cours SIEM s'adresse à des pentesters, étudiants en sécurité informatique, administrateurs système, responsables sécurité des systèmes d'information (RSSI) et consultants en sécurité de l'information.

Prérequis :

Pour suivre cette formation SIEM dans de bonnes conditions, les participants doivent posséder des connaissances générales en système, réseau et développement.

Jour 1

Introduction à la cybersécurité

Histoire de la cybersécurité
Présentation du programme Creeper
Présentation du projet Rabbit
La cybersécurité aujourd'hui et ses risques
La dangerosité des données numériques
Quels sont les responsables ? Quelles motivations ont-ils?
Classification des risques selon le gouvernement français

La technologie SIEM (Security Information and Event Management)

Présentation du SIEM
Qu'est ce qu'un SIEM ?
Le fonctionnement d'un SIEM
Les objectifs d'un SIEM et de la corrélation des données

Jour 2

Le Lab

Le SIEM au sein d'une architecture réseau
Présentation du Lab de formation
Explications des outils intégrés au Lab
Préparation du Lab

Mise en place de Windows Server

Installation de Windows server R2
Configuration du serveur
Activation et configuration du domaine
Activation et configuration du service Active Directory (AD)

Jour 3

Présentation de ELK (Elasticsearch, Logstash et Kibana)

Présentation de la suite ELK
Découverte de Elasticsearch
Découverte de Logstash
Découverte de Kibana

ElasticSearch

Approche théorique : terminologie
Application Full REST et utilisation

Travaux pratiques

Présentation de la solution Cloud
Installation de Elasticsearch
Configuration du fichier .yml

Logstash

Approche théorique : fonctionnement de logstash

Travaux pratiques

Installation de logstash
Les fichiers Input

Jour 4

Kibana

Installation et configuration
Utilisation de l'interface Discover
Visualize et les différentes visualisations
Comment créer des alertes ?
Exporter en PDF les données Dashboard
Comment sécuriser Kibana ?

Travaux pratiques

Installation de Kibana
Configuration de Kibana

Détection d'intrusion et remontée d'alertes sur l'Active Directory (AD)

Présentation du scénario et de l'objectif
Approche théorique sur l'agent WinlogBeat

Travaux pratiques

Mise en place de WinlogBeat
Configurer le Dashboard sur Kibana
Détecter une intrusion admin dans l'AD
Détecter une intrusion Pfsense et remonter l'alerte dans le dashboard