HSC   Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Formations > Analyse et investigation numérique avancées dans les réseaux - FOR 572
Accéder au : Site HSC généraliste
Télécharger le catalogue des formations
Recherche :  
English version
   Formations Présentielles   
o Planning des formations
o Formations certifiantes avec LSTI
o Formations certifiantes SANS
o Certifications
o Formations universitaires
   E-learning   
o Le E-learning HSC
o La norme ISO 27001
o Programmation sécurisée en PHP
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
   HSC est certifié OPQF   
logo OPQF
|>|Analyse et investigation numérique avancées dans les réseaux - FOR 572  
Formations Présentielles
Voir aussi...
o Organisation des formations
o Planning des formations inter-entreprises
o Investigations inforensiques - Windows - SANS FOR408
o Analyse inforensique avancée et réponse aux incidents - SANS FOR508
o Thème actualité
o Thème avis de sécurité
o Newsletter HSC
o Comment nous demander une prestation
o Objectifs
o Certification
o Durée
o Formateur(s)
o Public visé et prérequis
o Méthode pédagogique
o Cours associés
o Support
o Plan
o Modalités d'inscription

Dates des prochaines sessions :
> 3-07 octobre 2016 (Paris)
Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.



Le nombre d'attaques explosant depuis quelques années, l'investigation réseau est un besoin grandissant au sein des entreprises et pour les analystes inforensiques afin d'identifier la source de l'intrusion et les canaux cachés mis en place par les attaquants pour exfiltrer des informa ons sensibles. Basé sur le retour d'expérience de toute une communauté internationale d'experts en inforensique, le cours analyse et investigation numérique avancées dans les réseaux SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques réseau complètes.


Objectifs

Illustré par de nombreuses démonstrations, reproductibles immédiatement par les stagiaires, le cours Inforensique réseau est interactif et permet de découvrir la marche à suivre et tous les outils nécessaires pour être prêt à étudier efficacement toute situation : intrusion, fuite d'information, actions malveillantes d'un employé curieux.
A l'issue de cette formation, les stagiaires seront à même de mener efficacement des études inforensiques réseau avec des outils tels que Wireshark, Splunk, Snort. Cette formation est le cours Forensics 572 du SANS institute.


Certification

Cette formation prépare à la certification GIAC Network Forensic Analyst (GNFA). Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé SANS.


Durée

5 jours (9h00-18h30)


Formateur(s)

La formation est dispensée par :

  • Mikael Smaha (Mikael.Smaha@hsc.fr)
    • Certifié ISO27001:2013 Lead Auditor par LSTI
    • Certifié ISO27001:2013 Lead Implementer par LSTI
    • Certifié ISO27005:2011 Risk Manager par LSTI
    • Certifié EBIOS Risk Manager par LSTI
    • Certifié GIAC Network Forensic Analyst (GNFA).
  • Vincent Herbulot (Vincent.Herbulot@hsc.fr)
    • Certifié GIAC Penetration Tester (GPEN)
    • Certifié GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
    • Certifié GIAC Network Forensic Analyst GNFA)
    • Certifié GIAC Forensic Analyst (GCFA)


Public visé et prérequis

Public visé :

  • Tout membre d'une équipe de réponse à incident qui est amené à traiter des incidents de sécurité complexes et ayant besoin de l'inforensique réseau dans son activité
  • Professionnels de l'inforensique réseau et système souhaitant consolider et accroître leur connaissances en inforensique réseau et en réponse à incident
  • Membres d'agences gouvernementales ou détectives qui souhaitent maîtriser l'inforensique réseau et étendre leur champ de compétences en investigation pour y ajouter la capture de paquets, l'analyse d'IDS/IPS, les proxies web, les canaux cachés et la collecte de preuves réseau
  • Experts en sécurité avec une expérience en tests d'intrusion, réponse aux incidents et écriture d'exploits
  • Experts réseaux souhaitant étendre ses activités à l'inforensique de façon à comprendre les implications en terme de sécurité et travailler sur des cas d'investigation inforensique
  • Toute personne disposant de solides compétences techniques pouvant être mandatée pour investiguer un cas de fuite d'information, d'intrusion ou sur des personnes considérées comme techniquement retorses

Pré-requis : Les stagiaires doivent avoir des bases réseau, telles que le modèle OSI et les généralités sur TCP/IP. Assurez-vous de réussir le tests 'SANS TCP/IP & Hex Knowledge'. Les stagiaires doivent aussi êtres familiers de l'environnement Linux ou être disposés à apprendre dans un environnement Linux. Ce cours est conseillé aux stagiaires ayant déjà suivi la formation Analyse inforensique avancée et réponse aux incidents (SANS Forensics 508).
Ce cours n'est pas conseillé aux personnes ne connaissant pas les bases de l'inforensique système, l'administration système et les techniques d'attaque. Ces sujets étant considérés comme prérequis à la formation ne seront pas abordés.


Méthode pédagogique

Cours magistral en français avec manipulations et exercices pratiques.


Cours associés


Support

Le support de cours est intégralement en anglais.


Plan

Le plan est issu de la formation FOR 572 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/course/advanced-network-forensics-analysis

Le plan de la formation est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

Jour 1 - Introducion
  • Objectifs des investigations inforensiques (Types et pré-requis)
  • Fondamentaux du processus d'inforensique réseau
  • Introduction à tcpdump (format pcap, BPF)
  • Introduction à Wireshark (interface, filtres, analyse)
  • Sources et types des preuves réseaux ("hubs", "taps", NetFlow, journalisation)
  • Gestion d'un cas/enquête et manipulation des preuves (Aspects législatifs, intégrité)
  • Analyse des proxies web (Squid, analyse automatisée, exfiltration des informations en cache)
  • Défis et possibilités dûs aux différentes architectures réseaux (TAP réseau, réseaux sans-fil)
  • Applications et données de captures de paquets
Jour 2 : Protocoles réseaux
  • Analyse des informations en provenance de protocoles réseaux
  • DHCP et DNS
    • Baux DHCP, Journalisation des serveurs, Tunneling et fast-flux DNS
  • HTTP (Analyse des requêtes et réponses, extraction d'artefacts)
  • HTTPS et SSL
    • Eléments utiles du processus de négociation SSL,
    • Usage de SSL en dehors de HTTPS
  • Capture et Analyse de flux FTP (File Transfer Protocol)
  • NTP (Utilité lors de l'investigation, Analyse du protocole)
  • Présentation de solutions commerciales et open-source
  • Protocoles Micrososoft (Exchange, SMB, Sharepoint, etc.)
  • SMTP
Jour 3 : Analyse NetFlow et de réseaux sans-fil
  • Introduction à NetFlow (protocole et composants)
  • Approches de collecte d'informations NetFlow
    • Utilisation des fonctionalités de Splunk pour l'analyse de données NetFlow
    • Collecteurs NetFlow présents en entreprise
  • Outils open-source d'analyse de flux (nfcapd, nfdump, nfsen, SiLK)
  • Solutions commerciales d'analyse de données NetFlow (Scrutinizer, SolarWinds, Lancope, WhatsUpGold, Riverbed)
  • Analyse comportementale et "Profiling" (Utilisation de motifs afin d'identifier des anomalies, etc.)
  • Techniques et outils de visualisation
    • Traitement de ressources de type "Big Data"
    • Visualisation de motifs, anomalies, ...
  • Inforensique de réseaux sans-fil
  • Mise en relation de l'analyse de réseaux câblés avec les réseaux sans-fil
  • Méthodes de capture, Champs utiles des protocoles sans-fil pour l'inforensique, Faiblesses liées aux réseaux sans-fil
Jour 4 : Journalisation
  • Syslog (Fonctionnement, configuration, protocole et analyse d'événements)
  • Journaux d'événements Windows (architecture, possibilités et analyse)
  • Journaux de serveur HTTP (format des journaux, méthode d'analyse)
  • Pare-feu et Systèmes de détection d'intrusion (IDS)
    • Adaptation des infrastructures pour améliorer les investigations inforensiques
    • Pare-feu (syntaxe et format des journaux, iptables, etc.)
    • Systèmes de détection d'intrusion (IDS) : règles, signatures, journalisation, etc.
    • Agrégation/Corrélation de journaux et analyse
    • Outils de SIEM (Security Information and Event Management)
    • Investiguer sur des données en temps réel en limitant les risques
Jour 5 : Chiffrement, Analyse inverse de protocole et automatisation
  • Introduction au chiffrement (encodage, chiffrement symétrique et asymétrique)
  • Homme du milieu (méthodes existantes, outils, etc.)
  • Analyse de trafic chiffré
  • Analyse de charges utiles (méthodes d'encapsulation et de décapsulation, etc.)
  • Rétro ingénierie de protocoles réseaux (identification de motifs, ...)
  • Outils automatisés et bibliothèques permettant l'analyse de grandes quantités de données
Jour 6 : Cas pratique final
  • Analyse inforensique de preuves réseaux
  • Rédaction de rapport, documentation


Modalités d'inscription

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.

Dernière modification le 16 juillet 2015 à 18:25:45 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants