L’analyste SOC est devenu une main-d’œuvre indispensable depuis l’émergence des SOC (Security Operation Center).
L’ESD à donc décidé de créer une formation dédiée à cette discipline dont l’objectif est d’apporter de la réactivité et de l’anticipation à la sécurité des organisations.
- Financement CPF possible
- Durée : 5 jours
- Prix : 3500 Euros HT (certification ESD-ANALYSTSOC + 799 € HT)
- Disponible en ligne
Public : consultant en cybersécurité, administrateur système, ingénieur en informatique, développeur.
Prérequis : avoir des bases de la sécurité des systèmes d'information. Connaître le fonctionnement d'un des systèmes Windows et Linux ainsi que les langages Shell.
Un mot sur les auteurs du support
Jonathann DARMON
Consultant en sécurité des systèmes d’information pour la société SafeIT Consulting, Jonathann DARMON bénéficie de 20 ans d’expérience dans le domaine de l’administration système
Autodidacte, passionné de cybersécurité, hacking et spécialement du monde du système, Jonathann se fait un point d’honneur à être le plus pédagogue possible pour partager sa passion.
Programme de la formation
Jour 1 – SOC et métier d’analyste
Section 1 – Etat de l’art du Security Operation Center
Définition du SOC
Les avantages, l’évolution du SOC
Les services intégrés au SOC, les données collectées, playbook
Le modèle de gouvernance du SOC (approche SSI, type de SOC, CERT, CSIRT)
Prérequis et rôles d’un analyste SOC (techniques, soft skills, rôles, modèles)
Les référentiels (ATT&CK, DeTT&CT, Sigma, MISP)
Démonstration 1 – utilisation du framework ATT & CK via Navigator (attaque et défense)
Section 2 – Focus sur l’analyste SOC
Quel travail au quotidien
Triage des alertes
Révision et état de sécurité
Identification et rapport
Threat hunting
Démonstration 2– utilisation de l’outil SYSMON
Section 3 – Les sources de données à monitorer
Indicateur Windows (processus, firewall, etc.)
Service WEB (serveur, WAF, activité)
IDS/IPS
EDR, XDR
USB
DHCP, DNS
Antivirus, EPP
DLP, whitelist
Email
Exercice 1 / cas d’usage et ligne de défense
Jour 2 (Découverte & mise en place du SIEM)
Section 4 – Tour d’horizon du SIEM
Contexte du SIEM
Solution existante
Principe de fonctionnement d’un SIEM
Les objectifs d’un SIEM
Solution de SIEM
Section 5 – Présentation de la suite Elastic
Les agents BEATS, sysmon
Découverte de Logstash
Découverte de Elasticsearch
Découverte de Kibana
TP 1 / mise en place d’ELK et première remontée de log
Jour 3 (Analyse, Logstash, Elastic search)
Section 6 – Logstash (ETL)
Fonctionnement de Logstash
Les fichiers input & output
Enrichissement: Les filtres Groks et sources externes
Section 7 – ElasticSearch
Terminologie
Syntax Lucene
Alerte avec ElasticAlert et Sigma
TP 2 / création d’alertes, alarmes
Démonstration 3 / utilisation d’Elastalert et Sigmac
Section 8 – Kibana
Recherche d’événements
Visualisation des données
Démonstration 4 / création d’un filtre sur Kibana
Ajout de règles de détection, IoC
Allez plus loin dans l’architecture ELK avec HELK
Jour 4 (Cyber entraînement)
Section 9 – Mise en situation
À travers des outils ESD Academy, l’analyste SOC est en situation et doit identifier plusieurs scénarios d’attaque lancés par le formateur
TP 3 / Configurer un SIEM et l’exploiter
Jour 5 (Rapport)
Section 10 – Rapport
l’analyste SOC doit rapporter les attaques détectées et identifier les menaces, impacts, vérifier si son système d’information est touché.
TP 4 / Créer un rapport des attaques interceptées et évaluer l’impact
La formation comprend
Support .pdf
Cahier d'exercices
Machines virtuelles
Vous êtes Analyste SOC ?
Certifier votre métier avec notre certification ESD-SOCANALYST
