Formation
Analyste SOC

Devenez le premier maillon de la chaîne SOC

L’analyste SOC est devenu une main d’œuvre indispensable depuis l’émergence des SOC (Security Operation Center).  

L’ESD à donc décidé de créer une formation dédiée à cette discipline dont l’objectif est d’apporter de la réactivité et de l’anticipation à la sécurité des organisation.

Public : consultant en cybersécurité, administrateur système, ingénieur en informatique, développeur.

Prérequis : avoir des bases de la sécurité des systèmes d'information. Connaître le fonctionnement d'un des systèmes Windows et Linux ainsi que les langages Shell.

Programme de la formation

Jour 1 – SOC et métier d’analyste

  • Section 1 – Etat de l’art du Security Operation Center

  • Définition du SOC

  • Les avantages, l’évolution du SOC

  • Les services intégrés au SOC, les données collectées, playbook

  • Le modèle de gouvernance du SOC (approche SSI, type de SOC, CERT, CSIRT)

  • Pré requis et rôles d’un analyste SOC (techniques, soft skills, rôles, modèles)

  • Les référentiels (ATT&CK, DeTT&CT, Sigma, MISP)

  • Démonstration 1 – utilisation du framework ATT & CK via Navigator (attaque et défense)

  • Section 2 – Focus sur l’analyste SOC

  • Quel travail au quotidien

  • Triage des alertes

  • Révision et état de sécurité

  • Identification et rapport

  • Threat hunting

  • Démonstration 2– utilisation de l’outil SYSMON

  • Section 3 – Les sources de données à monitorer

  • Indicateur Windows (processus, firewall, etc.)

  • Service WEB (serveur, WAF, activité)

  • IDS/IPS

  • EDR, XDR

  • USB

  • DHCP, DNS

  • Antivirus, EPP

  • DLP, whitelist

  • Email

  • Exercice 1 / cas d’usage et ligne de défense

Jour 2 (Découverte & mise en place du SIEM)

  • Section 4  – Tour d’horizon du SIEM

  • Contexte du SIEM

  • Solution existante

  • Principe de fonctionnement d’un SIEM

  • Les objectifs d’un SIEM

  • Solution de SIEM

  • Section 5 – Présentation de la suite Elastic

  • Les agents BEATS, sysmon

  • Découverte de Logstash

  • Découverte de Elasticsearch

  • Découverte de Kibana

  • TP 1 / mise en place d’ELK et première remontée de log

Jour 3 (Analyse, Logstash, Elastic search)

  • Section 6 – Logstash (ETL)

  • Fonctionnement de Logstash

  • Les fichiers input & output

  • Enrichissement: Les filtres Groks et sources externes 

  • Section 7  – ElasticSearch

  • Terminologie

  • Syntax Lucene

  • Alerte avec ElasticAlert et Sigma

  • TP 2  / création d’alertes, alarmes

  • Démonstration 3  / utilisation d’Elastalert et Sigmac

  • Section 8 – Kibana

  • Recherche d’événements 

  • Visualisation des données

  • Démonstration 4  / création d’un filtre sur Kibana

  • Ajout de règles de détection, IoC

  • Allez plus loin dans l’architecture ELK avec HELK

Jour 4 (Cyber entraînement)

  • Section 9 – Mise en situation 

  • à travers des outils ESD Academy, l’analyste SOC est en situation et doit identifier plusieurs scénarios d’attaque lancés par le formateur

  • TP 3 / Configurer un SIEM et l’exploiter

Jour 5 (Rapport)

  • Section 10 – Rapport

  • l’analyste SOC doit rapporter les attaques détecter et identifier les menaces, impacts, vérifier si son système d’information est touché. 

  • TP 4 / Créer un rapport des attaques interceptées et évaluer l’impact

La formation comprend

Support .pdf
Cahier d'exercice
Machines virtuelles

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Michael GIRAUD
Mickaël GIRAUD

Vous êtes Analyste SOC ?

Bientôt notre certification ESD-SOCANALYST suivez-nous !