Se connecter

Formation ANALYSTE SOC

ESD-SOCANALYST

Public concerné : consultant en cybersécurité, administrateur système, ingénieur en informatique, développeur.

Prérequis : avoir des bases de la sécurité des systèmes d’information. Connaître le fonctionnement d’un des systèmes Windows et Linux ainsi que les langages Shell. 

Description : 
La formation “Analyste SOC” proposée par l’ESD Cybersecurity Academy est une formation avancée pour les professionnels de la cybersécurité qui cherchent à se spécialiser dans l’analyse des menaces et des incidents de sécurité dans un environnement de Security Operations Center (SOC). Cette formation permet aux participants de comprendre les méthodes et les techniques d’analyse de l’activité réseau, des journaux de sécurité, des alertes et des événements de sécurité pour détecter et répondre rapidement aux incidents de sécurité. Les participants apprendront à utiliser des outils avancés pour l’analyse des données de sécurité, à comprendre les indicateurs de compromission (IOC) et les signatures de logiciels malveillants, ainsi qu’à identifier les menaces de sécurité émergentes. Cette formation est conçue pour les professionnels de la sécurité qui cherchent à améliorer leurs compétences en matière d’analyse de sécurité pour faire face aux défis croissants de la cybercriminalité et des menaces de sécurité.
Objectifs pédagogiques :
– Comprendre le rôle et les responsabilités d’un analyste SOC dans la sécurité des systèmes d’information.
– Savoir identifier les indicateurs de compromission et les événements de sécurité sur les réseaux et les systèmes.
– Comprendre les techniques d’analyse de logs et de traçabilité pour enquêter sur des incidents de sécurité.
– Savoir comment utiliser des outils de sécurité tels que SIEM, IDS/IPS et firewalls pour détecter et prévenir les attaques.
– Comprendre les différentes étapes de la réponse à incident, de la détection à la remédiation.
– Savoir comment communiquer efficacement avec les parties prenantes internes et externes lors de la gestion des incidents de sécurité.
– Comprendre les enjeux de la veille en sécurité et comment s’informer sur les dernières menaces et les vulnérabilités les plus récentes.

Un mot sur les auteurs du support

Jonathann DARMON

Consultant en sécurité des systèmes d’information pour la société SafeIT Consulting, Jonathann DARMON bénéficie de 20 ans d’expérience dans le domaine de l’administration système

Autodidacte, passionné de cybersécurité, hacking et spécialement du monde du système, Jonathann se fait un point d’honneur à être le plus pédagogue possible pour partager sa passion.

Programme de la formation

Jour 1 – SOC et métier d’analyste

Section 1 – État de l’art du Security Operation Center

  • Définition du SOC
  • Les avantages, l’évolution du SOC
  • Les services intégrés au SOC, les données collectées, playbook
  • Le modèle de gouvernance du SOC (approche SSI, type de SOC, CERT, CSIRT)
  • Prérequis et rôles d’un analyste SOC (techniques, soft skills, rôles, modèles)
  • Les référentiels (ATT&CK, DeTT&CT, Sigma, MISP)
  • Démonstration 1 – utilisation du framework ATT & CK via Navigator (attaque et défense)

Section 2 – Focus sur l’analyste SOC

  • Quel travail au quotidien
  • Triage des alertes
  • Révision et état de sécurité
  • Identification et rapport
  • Threat hunting
  • Démonstration 2 – utilisation de l’outil SYSMON

Section 3 – Les sources de données à monitorer

  • Indicateur Windows (processus, firewall, etc.)
  • Service WEB (serveur, WAF, activité)
  • IDS/IPS
  • EDR, XDR
  • USB
  • DHCP, DNS
  • Antivirus, EPP
  • DLP, whitelist
  • Email
  • Exercice 1 / cas d’usage et ligne de défense

Jour 2 (Découverte & mise en place du SIEM)

Section 4 – Tour d’horizon du SIEM

  • Contexte du SIEM
  • Solution existante
  • Principe de fonctionnement d’un SIEM
  • Les objectifs d’un SIEM
  • Solution de SIEM

Section 5 – Présentation de la suite Elastic

  • Les agents BEATS, sysmon
  • Découverte de Logstash
  • Découverte de Elasticsearch
  • Découverte de Kibana
  • TP 1 / mise en place d’ELK et première remontée de log

Jour 3 (Analyse, Logstash, Elasticsearch)

Section 6 – Logstash (ETL)

  • Fonctionnement de Logstash
  • Les fichiers input & output
  • Enrichissement: Les filtres Groks et sources externes

Section 7 – ElasticSearch

  • Terminologie
  • Syntax Lucene
  • Alerte avec ElasticAlert et Sigma
  • TP 2 / création d’alertes, alarmes
  • Démonstration 3 / utilisation d’Elastalert et Sigmac

Section 8 – Kibana

  • Recherche d’événements
  • Visualisation des données
  • Démonstration 4 / création d’un filtre sur Kibana
  • Ajout de règles de détection, IoC
  • Allez plus loin dans l’architecture ELK avec HELK

Jour 4 (Cyber entraînement)

Section 9 – Mise en situation

  • À travers des outils ESD Academy, l’analyste SOC est en situation et doit identifier plusieurs scénarios d’attaque lancés par le formateur
  • TP 3 / Configurer un SIEM et l’exploiter

Jour 5 (Rapport)

Section 10 – Rapport

  • L’analyste SOC doit rapporter les attaques détectées et identifier les menaces, impacts, vérifier si son système d’information est touché.
  • TP 4 / Créer un rapport des attaques interceptées et évaluer l’impact

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Alain MENELET
Alain MENELET
Jonathann DARMON

La formation comprend

Support .pdf
Cahier d'exercices
Machines virtuelles

Vous êtes Analyste SOC ?

Certifier votre métier avec notre certification ESD-SOCANALYST