Formation ANALYSTE SOC
- Financement CPF possible
- Durée : 5 jours
- Prix : 3500 Euros HT (certification ESD-ANALYSTSOC+ 799 € HT)
- Disponible en ligne
- Bloc 2 RNCP : francecompetences.fr/recherche/rncp/36399/

Public concerné : consultant en cybersécurité, administrateur système, ingénieur en informatique, développeur.
Prérequis : avoir des bases de la sécurité des systèmes d’information. Connaître le fonctionnement d’un des systèmes Windows et Linux ainsi que les langages Shell.
Description :
Objectifs pédagogiques :
Un mot sur les auteurs du support

Jonathann DARMON
Consultant en sécurité des systèmes d’information pour la société SafeIT Consulting, Jonathann DARMON bénéficie de 20 ans d’expérience dans le domaine de l’administration système
Autodidacte, passionné de cybersécurité, hacking et spécialement du monde du système, Jonathann se fait un point d’honneur à être le plus pédagogue possible pour partager sa passion.
Programme de la formation
Jour 1 – SOC et métier d’analyste
Section 1 – État de l’art du Security Operation Center
- Définition du SOC
- Les avantages, l’évolution du SOC
- Les services intégrés au SOC, les données collectées, playbook
- Le modèle de gouvernance du SOC (approche SSI, type de SOC, CERT, CSIRT)
- Prérequis et rôles d’un analyste SOC (techniques, soft skills, rôles, modèles)
- Les référentiels (ATT&CK, DeTT&CT, Sigma, MISP)
- Démonstration 1 – utilisation du framework ATT & CK via Navigator (attaque et défense)
Section 2 – Focus sur l’analyste SOC
- Quel travail au quotidien
- Triage des alertes
- Révision et état de sécurité
- Identification et rapport
- Threat hunting
- Démonstration 2 – utilisation de l’outil SYSMON
Section 3 – Les sources de données à monitorer
- Indicateur Windows (processus, firewall, etc.)
- Service WEB (serveur, WAF, activité)
- IDS/IPS
- EDR, XDR
- USB
- DHCP, DNS
- Antivirus, EPP
- DLP, whitelist
- Exercice 1 / cas d’usage et ligne de défense
Jour 2 (Découverte & mise en place du SIEM)
Section 4 – Tour d’horizon du SIEM
- Contexte du SIEM
- Solution existante
- Principe de fonctionnement d’un SIEM
- Les objectifs d’un SIEM
- Solution de SIEM
Section 5 – Présentation de la suite Elastic
- Les agents BEATS, sysmon
- Découverte de Logstash
- Découverte de Elasticsearch
- Découverte de Kibana
- TP 1 / mise en place d’ELK et première remontée de log
Jour 3 (Analyse, Logstash, Elasticsearch)
Section 6 – Logstash (ETL)
- Fonctionnement de Logstash
- Les fichiers input & output
- Enrichissement: Les filtres Groks et sources externes
Section 7 – ElasticSearch
- Terminologie
- Syntax Lucene
- Alerte avec ElasticAlert et Sigma
- TP 2 / création d’alertes, alarmes
- Démonstration 3 / utilisation d’Elastalert et Sigmac
Section 8 – Kibana
- Recherche d’événements
- Visualisation des données
- Démonstration 4 / création d’un filtre sur Kibana
- Ajout de règles de détection, IoC
- Allez plus loin dans l’architecture ELK avec HELK
Jour 4 (Cyber entraînement)
Section 9 – Mise en situation
- À travers des outils ESD Academy, l’analyste SOC est en situation et doit identifier plusieurs scénarios d’attaque lancés par le formateur
- TP 3 / Configurer un SIEM et l’exploiter
Jour 5 (Rapport)
Section 10 – Rapport
- L’analyste SOC doit rapporter les attaques détectées et identifier les menaces, impacts, vérifier si son système d’information est touché.
- TP 4 / Créer un rapport des attaques interceptées et évaluer l’impact
La formation comprend
Support .pdf
Cahier d'exercices
Machines virtuelles
Vous êtes Analyste SOC ?
Certifier votre métier avec notre certification ESD-SOCANALYST