HSC   Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Formations > Inforensique réseau
Accéder au : Site HSC généraliste
Recherche :  
 English version
   Formations Présentielles   
o Planning des formations
o Formations certifiantes avec LSTI
o Formations certifiantes SANS
o Certifications
o Formations universitaires
   E-learning   
o Le E-learning HSC
o La norme ISO 27001
o Programmation sécurisée en PHP
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
   HSC est certifié OPQF   
logo OPQF
|>|Inforensique réseau  
Formations Présentielles
Voir aussi...
o Organisation des formations
o Planning des formations inter-entreprises
o Investigations inforensiques - Windows - SANS FOR408
o Analyse inforensique avancée et réponse aux incidents - SANS FOR508
o Thème actualité
o Thème avis de sécurité
o Newsletter HSC
o Comment nous demander une prestation
o Objectifs
o Certification
o Durée
o Formateur(s)
o Public visé et prérequis
o Méthode pédagogique
o Cours associés
o Support
o Plan
o Modalités d'inscription

Dates des prochaines sessions :
- Pas de session au cours des prochains mois
Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.
Prochaine session en 2014


 

Basé sur le retour d'expérience de toute une communauté internationale d'experts en inforensique, le cours Investigations inforensique réseau SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques réseau complètes.

Objectifs

Illustré par de nombreuses démonstrations, reproductibles immédiatement par les stagiaires, le cours Inforensique réseau est interactif et permet de découvrir la marche à suivre et tous les outils nécessaires pour être prêt à étudier efficacement toute situation : intrusion, fuite d'information, actions malveillantes d'un employé curieux.
A l'issue de cette formation, les stagiaires seront à même de mener efficacement des études inforensiques réseau avec des outils tels que Wireshark, Splunk, Snort. Cette formation est le cours Forensics 558 du SANS institute.

Certification

Cette formation n'est pas certifiante.

Durée

5 jours (9h00-18h30)

Formateur(s)

La formation est dispensée par :

  • Thomas Seyrat. Responsable de la formation.
  • Stéphane Milani. Certifié GCFA (GIAC Certified Forensic Analyst) depuis 2010.
  • Benjamin Arnault . Certifié GCFA (GIAC Certified Forensic Analyst) depuis 2006.
  • Guillaume Thiaux. Certifié GCFA (GIAC Certified Forensic Analyst) depuis 2012.

Public visé et prérequis

Public visé :

  • Tout membre d'une équipe de réponse à incident qui est amené à traiter des incidents de sécurité complexes et ayant besoin de l'inforensique réseau dans son activité
  • Professionnels de l'inforensique réseau et système souhaitant consolider et accroître leur connaissances en inforensique réseau et en réponse à incident
  • Membres d'agences gouvernementales ou détectives qui souhaitent maîtriser l'inforensique réseau et étendre leur champ de compétences en investigation pour y ajouter la capture de paquets, l'analyse d'IDS/IPS, les proxies web, les canaux cachés et la collecte de preuves réseau
  • Experts en sécurité avec une expérience en tests d'intrusion, réponse aux incidents et écriture d'exploits
  • Experts réseaux souhaitant étendre ses activités à l'inforensique de façon à comprendre les implications en terme de sécurité et travailler sur des cas d'investigation inforensique
  • Toute personne disposant de solides compétences techniques pouvant être mandatée pour investiguer un cas de fuite d'information, d'intrusion ou sur des personnes considérées comme techniquement retorses

Pré-requis : Les stagiaires doivent avoir des bases réseau, telles que le modèle OSI et les généralités sur TCP/IP. Assurez-vous de réussir le tests 'SANS TCP/IP & Hex Knowledge'. Les stagiaires doivent aussi êtres familiers de l'environnement Linux ou être disposés à apprendre dans un environnement Linux. Ce cours est conseillé aux stagiaires ayant déjà suivi la formation Analyse inforensique avancée et réponse aux incidents (SANS Forensics 508).
Ce cours n'est pas conseillé aux personnes ne connaissant pas les bases de l'inforensique système, l'administration système et les techniques d'attaque. Ces sujets étant considérés comme prérequis à la formation ne seront pas abordés.

Méthode pédagogique

Cours magistral en français avec manipulations et exercices pratiques.

Cours associés

Support

Le support de cours est intégralement en anglais.

Plan

Le plan est issu de la formation FOR 558 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/network-forensics-4562-tid

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

Tunneling DNS

Le modèle OSI pour l'analyse inforensique réseau

Analyse DHCP et adresse MAC

Acquisition passive des preuves

Hubs, Switches et SPAN ports

Test Access Ports (Network TAPs)

Captures tcpdump

Filtrage réseau avec BPF

Analyse de paquets réseau
  • ngrep
  • tcpxtract
  • Wireshark
  • tshark
  • pcapcat et oftcat
Approfondissement du tunneling de données
  • Tunnels ICMP
  • Tunnels DNS
Méthodologie d'inforensique réseau
  • Acquisition de preuve active et interactive
  • Preuves via ARP et la table de routage
  • Configuration et journalisation du firewall
  • Modifications de la configuration du firewall pour l'acquisition de preuves
Approfondissement de l'analyse des journaux réseau
  • Journalisation centralisée avec syslog et syslog-ng
  • Journaux systèmes et d'authentification
  • Utilisation de Splunk pour l'agrégation et la corrélation
Détection d'intrusion réseau et analyse avec Snort
  • Web Proxies, Chiffrement et interception SSL
  • Analyse de l'historique des accès web, via Squid
  • Reconstruction de pages web depuis le cache Squid
Investigation sur Wireless Access Point (WAP)
  • Analyse de journaux des WAP
  • Acquisition de preuves sur les WAP
Première présentation des preuves réseau
  • Étude du cas Capstone: Investiguer sur un crime et présentez les preuves
  • Travailler en équipe d'investigateurs en inforensique pour :
    • Examiner les alertes IDS et comprendre l'attaque
    • Extraire des fichiers des captures de trafic des IDS
    • Planifier une stratégie de collecte de preuve et prioriser les tâches
    • Collectez des preuves provenant des équipement réseau
  • Remontez jusqu'à la source de l'attaque en corrélant :
    • Journaux du firewall
    • Journaux systèmes centralisés
    • Journaux d'IDS
    • etc.
Reconstruire l'historique de navigation et le contenu en cache

Analyse des journaux DHCP

Prise d'empreinte d'un ordinateur suspect

Identification du suspect en utilisant des preuves réseau

Construire un dossier et échanger sur les méthodes de présentation des preuves

Modalités d'inscription

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.
Dernière modification le 8 mars 2013 à 13:40:30 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2009 Hervé Schauer Consultants