Analyse inforensique avancée et réponse aux incidents - SANS FOR508

	Voir aussi...  Organisation des formations  Planning des formations inter-entreprises  Investigations inforensiques - Windows - SANS FOR408  Investigations inforensiques réseau - SANS FOR558  Thème actualité  Thème avis de sécurité  Newsletter HSC  Comment nous demander une prestation
Objectifs  Certification  Durée  Formateur(s)  Public visé et prérequis  Méthode pédagogique  Cours associés  Support  Plan  Modalités d'inscription

Dates des prochaines sessions : 10-14 septembre 2012 (Paris) Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.

 

Basé sur le retour d'expérience de toute une communauté internationale d'experts en inforensique, le cours Analyse inforensique avancée et réponse aux incidents SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques complètes sur des environnements hétérogènes.

Illustré par de nombreuses démonstrations, reproductibles immédiatement par les stagiaires, le cours Analyse inforensique avancée et réponse aux incidents est interactif et permet de découvrir la marche à suivre et tous les outils nécessaires pour être prêt à étudier efficacement toute situation : intrusion, fuite d'information, actions malveillantes d'un employé curieux.
A l'issue de cette formation, les stagiaires seront à même de mener efficacement des études inforensiques sur des systèmes Windows et Unix avec des outils tels que le Sleuthkit, foremost et le disque HELIX3 Pro Forensics Live CD. Cette formation est le cours Forensics 508 du SANS institute.

Cette formation prépare à l'examen pour obtenir la certification GIAC GCFA. Toutes les questions de l'examen sont issues des supports de cours de la formation. Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation, soit directement auprès de SANS. L'examen se passe dans un centre agréé GIAC.

5 jours (9h00-18h30)

La formation est dispensée par :

• Benjamin Arnault , responsable de la formation. Certifié GCFA (GIAC Certified Forensic Analyst) depuis novembre 2006.
• Guillaume Thiaux. Certifié GCFA (GIAC Certified Forensic Analyst) depuis 2012.
• Stéphane Milani. Certifié GCFA (GIAC Certified Forensic Analyst) depuis septembre 2010.

Public visé :

• Tout membre d'une équipe de réponse à incident qui est amené à traiter des incidents de sécurité ou intrusions complexes émanant de menaces sophistiquées
• Professionnel de l'inforensique qui souhaite renforcer et développer ses connaissances de l'inforensique et de la réponse aux incidents
• Membres d'agences gouvernementales ou détectives qui souhaitent maîtriser l'inforensique et étendre leur champ de compétences en investigation pour pouvoir traiter les cas de fuites d'informations, d'intrusion et d'analyses techniques avancées
• Experts en sécurité avec une expérience en tests d'intrusion, réponse aux incidents et écriture d'exploits
• Responsables sécurité qui désirent maîtriser l'inforensique pour en comprendre les implications en sécurité de l'information et les problématiques liées aux éventuelles poursuites découlant d'un incident ou tout simplement pour gérer une équipe de réponse à incident.

Pré-requis: bases en informatique, administration système Windows et Unix. Avoir suivi la formation "FOR 408 - Investigations inforensiques - Windows".

Cours magistral en français avec manipulations et exercices pratiques.

Le support de cours est intégralement en anglais. Les stagiaires recevront également le kit "SANS Investigative Forensic Toolkit" (SIFT) Advanced :

• Le logiciel F-RESPONSE TACTICAL permettant un accès à des disques physiques via le réseau
• Un adaptateur USB <-> SATA/IDE pour connecter tout disque dur à un PC
• La station de travail SIFT (image VMWare)
• Le livre "File System Forensic Analysis" par Brian Carrier
• Une licence individuelle Helix3 Pro (CD fourni)
• Le DVD du cours contenant des exemples, outils et documentations

Le plan est issu de la formation FOR 508 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/advanced-computer-forensic-analysis-incident-response-4737-tid

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

• Les acteurs de l'inforensique
• La démarche de l'inforensique
• Les systèmes de fichiers : généralités
• Les systèmes de fichiers Linux/Unix
  • Ext2/Ext3
• Les systèmes de fichiers Windows
  • FAT et exFAT
  • NTFS

• Les principes de l'acquisition et de l'analyse inforensique
• Acquisition et analyse des données volatiles
• Réponse en direct Unix et Windows
• Méthodologie de réponse à incident pour un système Windows
• L'intégrité des preuves
• Acquisition de preuves inforensiques et création d'images

• Analyse de l'historique (timeline) d'un système de fichiers
• Examen du système de fichier et de la couche de données
• Examen de la couche de méta-données
• Examen de la couche de noms de fichiers
• Tri de fichiers et comparaison d'empreintes
• Kits d'outils inforensiques graphiques et automatisés
• Concepts clés des systèmes de fichiers Windows
• Analyse intermédiaire et avancée du registre Windows
• Analyse des points de restauration Windows XP
• Analyse des "Volume Shadow Copy" de Windows Vista, 7 et 2008
• Analyse des "Super" Historiques (timeline)
• Récupération des fichiers clé sur un système Windows
• Identification des logiciels malveillants inconnus
• Méthodologie pas à pas pour analyser et résoudre les cas ardus

• Qui peut investiguer et les lois sur l'investigation
• Lois et marche à suivre pour l'acquisition, l'analyse et la préservation des preuves
• Ce que doivent savoir Les investigateurs légaux aux Etats-Unis
• Ce que doivent savoir Les investigateurs légaux de l'Union Européenne
• Présenter les données
• Témoignages et rapports inforensiques

• Prise d'empreinte d'applications et inforensique des logiciels
• Le challenge inforensique (machine Windows ou Unix au choix !)

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.