Manager cyber-augmenté
- Durée
- Durée :2 jours
- Niveau
- Niveau :Fondamental
- Certification
- Certification :Non
1790€ HT
Prochaine session :
Splunk spécialisé SIEM – Détection et Investigation
Maîtrisez Splunk pour collecter, analyser, corréler et investiguer les événements de sécurité au sein d'un SOC moderneDescription de la formation Splunk SIEM
Qu'est-ce que Splunk SIEM – Détection et Investigation ?
Splunk est une plateforme d'analyse de données permettant de collecter, indexer, rechercher et exploiter de grands volumes de journaux techniques et d'événements de sécurité. Utilisé dans de nombreux centres opérationnels de sécurité (SOC), Splunk facilite la détection des menaces, l'investigation des incidents et la mise en œuvre de mécanismes avancés de surveillance et d'alerte.
Pourquoi suivre une formation Splunk spécialisé SIEM ?
Face à l'augmentation constante des cybermenaces, les équipes de sécurité doivent disposer d'outils performants pour détecter rapidement les comportements suspects et réagir efficacement aux incidents. Cette formation permet d'acquérir les compétences indispensables pour exploiter Splunk dans un contexte SOC, depuis l'ingestion des données jusqu'à la création de tableaux de bord, de corrélations et d'alertes avancées.
Programme de la formation
Objectif opérationnel :
Savoir exploiter Splunk dans un centre opérationnel de sécurité (SOC) pour collecter, analyser, corréler et investiguer des événements de sécurité.
Objectifs pédagogiques :
À l'issue de cette formation Splunk SIEM, vous aurez acquis les connaissances nécessaires pour :
- Comprendre l'architecture et les composants principaux de Splunk
- Mettre en œuvre l'ingestion et la structuration de données de sécurité
- Maîtriser les commandes essentielles du langage SPL
- Réaliser des analyses et investigations sur des journaux de sécurité
- Enrichir les événements à l'aide de lookups et d'indicateurs de compromission
- Construire des tableaux de bord de supervision SOC
- Développer des mécanismes de corrélation et de détection d'incidents
- Configurer des alertes adaptées aux besoins opérationnels d'un SOC
- Appliquer les bonnes pratiques de réduction des faux positifs
- Comprendre les possibilités d'automatisation offertes par Splunk SOAR
Jour 1
Fonctions de Splunk Enterprise
Architecture : indexers, search heads, forwarders
Flux de données
Positionnement de Splunk dans la chaîne de détection SOCTravaux pratiquesObjectif : Prendre en main l'interface Splunk et explorer les journaux de sécurité.
Description : Prise en main de l'interface Splunk et première exploration de journaux de sécurité. Comment retrouver rapidement un événement pertinent ? Validation par la réalisation de recherches simples.
Organisation des données dans les indexes
Sources d'ingestion : interface graphique, Universal Forwarder, collecteur syslog
Supervision de modifications de fichiers
Envoi par API et extraction des champsTravaux pratiquesObjectif : Importer et vérifier différentes sources de journaux.
Description : Ingestion de journaux pare-feu, Windows et authentification. Vérification de l'extraction des champs et de l'indexation. Quels champs sont essentiels pour l'analyse ? Validation par contrôle des données ingérées.Jour 2
Filtre temporel et modes de recherche
Distinction événements / statistiques
Commandes essentielles SPL
Calculs statistiques et agrégationsTravaux pratiquesObjectif : Analyser des logs d'authentification avec SPL.
Description : Analyse de logs d'authentification afin d'identifier des volumes et horaires anormaux. Comment détecter des comportements suspects ? Validation par la création de requêtes SPL pertinentes.
Lookups : types et manipulation
Recoupement de données
Jointures, macros et sous-recherches
Chasse de marqueurs IOCTravaux pratiquesObjectif : Enrichir et corréler les événements de sécurité.
Description : Enrichissement des événements à l'aide d'une table d'IOC puis chasse de marqueurs sur les données ingérées. Quels enrichissements améliorent la détection ? Validation par la mise en évidence d'IOC détectés.Jour 3
Sélecteurs et filtres
Commande timechart
Requêtes chaînées et tokens
Modèles de données et objets de connaissanceTravaux pratiquesObjectif : Construire un tableau de bord SOC.
Description : Création d'un tableau de bord présentant alertes et tendances de sécurité. Comment rendre les informations directement exploitables ? Validation par la réalisation d'un tableau de bord opérationnel.
Requêtes d'investigation numérique
Requêtes de détection
Création d'alertes SOC
Réduction des faux positifs et ouverture vers Splunk SOARTravaux pratiquesObjectif : Créer une règle de détection et son alerte.
Description : Écriture d'une requête de détection de type bruteforce et création de l'alerte associée. Comment réduire les faux positifs ? Validation par le déclenchement correct de l'alerte et un QCM final.
Introduction à Splunk et architecture
Écosystème et produits SplunkFonctions de Splunk Enterprise
Architecture : indexers, search heads, forwarders
Flux de données
Positionnement de Splunk dans la chaîne de détection SOCTravaux pratiquesObjectif : Prendre en main l'interface Splunk et explorer les journaux de sécurité.
Description : Prise en main de l'interface Splunk et première exploration de journaux de sécurité. Comment retrouver rapidement un événement pertinent ? Validation par la réalisation de recherches simples.
Ingestion et structuration des données
Processus d'indexationOrganisation des données dans les indexes
Sources d'ingestion : interface graphique, Universal Forwarder, collecteur syslog
Supervision de modifications de fichiers
Envoi par API et extraction des champsTravaux pratiquesObjectif : Importer et vérifier différentes sources de journaux.
Description : Ingestion de journaux pare-feu, Windows et authentification. Vérification de l'extraction des champs et de l'indexation. Quels champs sont essentiels pour l'analyse ? Validation par contrôle des données ingérées.Jour 2
Le langage SPL
Accès aux données indexéesFiltre temporel et modes de recherche
Distinction événements / statistiques
Commandes essentielles SPL
Calculs statistiques et agrégationsTravaux pratiquesObjectif : Analyser des logs d'authentification avec SPL.
Description : Analyse de logs d'authentification afin d'identifier des volumes et horaires anormaux. Comment détecter des comportements suspects ? Validation par la création de requêtes SPL pertinentes.
Enrichissement et corrélation
Manipulation du JSONLookups : types et manipulation
Recoupement de données
Jointures, macros et sous-recherches
Chasse de marqueurs IOCTravaux pratiquesObjectif : Enrichir et corréler les événements de sécurité.
Description : Enrichissement des événements à l'aide d'une table d'IOC puis chasse de marqueurs sur les données ingérées. Quels enrichissements améliorent la détection ? Validation par la mise en évidence d'IOC détectés.Jour 3
Tableaux de bord SOC
Tableaux de bord StudioSélecteurs et filtres
Commande timechart
Requêtes chaînées et tokens
Modèles de données et objets de connaissanceTravaux pratiquesObjectif : Construire un tableau de bord SOC.
Description : Création d'un tableau de bord présentant alertes et tendances de sécurité. Comment rendre les informations directement exploitables ? Validation par la réalisation d'un tableau de bord opérationnel.
Détection et alerting
Commandes bin et transactionRequêtes d'investigation numérique
Requêtes de détection
Création d'alertes SOC
Réduction des faux positifs et ouverture vers Splunk SOARTravaux pratiquesObjectif : Créer une règle de détection et son alerte.
Description : Écriture d'une requête de détection de type bruteforce et création de l'alerte associée. Comment réduire les faux positifs ? Validation par le déclenchement correct de l'alerte et un QCM final.
Public cible :
Ce cours s'adresse aux analystes SOC, analystes cybersécurité, ingénieurs sécurité, administrateurs systèmes et réseaux, consultants cybersécurité, responsables de la supervision de sécurité et toute personne amenée à exploiter Splunk dans un contexte de détection ou d'investigation.
Prérequis :
Une connaissance générale des systèmes Windows et Linux, des réseaux TCP/IP et des concepts fondamentaux de la cybersécurité est recommandée. Une première expérience dans l'analyse de journaux ou dans un SOC constitue un avantage.
J'évalue mes connaissances pour vérifier que je dispose des prérequis nécessaires pour profiter pleinement de cette formation en faisant le test de prérequis.
Travaux pratiques représentant environ 50 % de la formation sur une plateforme Splunk Enterprise avec ingestion, analyse, investigation, corrélation et création d'alertes SOC.
Date de mise à jour du programme : 11/06/2026
Dates et lieux
Période souhaitée
Lieux
Type d'affichage