Network forensics - SANS FOR558

	See also...  Organization of the courses  Training sessions planning  Forensic Windows - SANS FOR408  Network forensics - SANS FOR558  Theme news  Theme advisories  HSC Newsletter  How to request an intervention
Goals  Certification  Duration  Instructor(s)  Pre-requisite for attendants  Teaching method  Related courses  Material  Agenda  Methods of inscription

Dates of the coming sessions: No session in the coming months Dates subject to modification without prior notice. The sessions will only take place if the number of registered attendants is high enough.

 

5 days (9h00-18h30)

This training is given by:

• Benjamin Arnault , responsable de la formation. Certifié GCFA (GIAC Certified Forensic Analyst) depuis novembre 2006.
• Guillaume Thiaux. Certifié OSCP par Offensive Security depuis août 2010.

Le support de cours est intégralement en anglais.

Le plan est issu de la formation FOR 558 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/network-forensics-4562-tid

• ngrep
• tcpxtract
• Wireshark
• tshark
• pcapcat et oftcat

• Tunnels ICMP
• Tunnels DNS

• Acquisition de preuve active et interactive
• Preuves via ARP et la table de routage
• Configuration et journalisation du firewall
• Modifications de la configuration du firewall pour l'acquisition de preuves

• Journalisation centralisée avec syslog et syslog-ng
• Journaux systèmes et d'authentification
• Utilisation de Splunk pour l'agrégation et la corrélation

• Web Proxies, Chiffrement et interception SSL
• Analyse de l'historique des accès web, via Squid
• Reconstruction de pages web depuis le cache Squid

• Analyse de journaux des WAP
• Acquisition de preuves sur les WAP

• Étude du cas Capstone: Investiguer sur un crime et présentez les preuves
• Travailler en équipe d'investigateurs en inforensique pour :
  • Examiner les alertes IDS et comprendre l'attaque
  • Extraire des fichiers des captures de trafic des IDS
  • Planifier une stratégie de collecte de preuve et prioriser les tâches
  • Collectez des preuves provenant des équipement réseau
• Remontez jusqu'à la source de l'attaque en corrélant :
  • Journaux du firewall
  • Journaux systèmes centralisés
  • Journaux d'IDS
  • etc.

For registering an HSC course, please contact our training department by phone : +33 141 409 704 or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number. Thoses informations enable us to send your the training agreement. The training agreement must be return agreed with signature and company stamp with you purchase order, at least 15 days before the course. This strict delay is imposed by SANS. The purchase order should precise your billing address and our payment regulations : net 30 days from our invoice date. Registration is completed as soon as we received those two documents.