Investigation numérique reseau (Network Forensics)

Fiche formation
image du badge investigation numérique réseau

Objectifs pédagogiques : acquérir les compétences et la méthodologie pour une investigation numérique sur du réseau TCP/IP

Pré-requis : connaissance sur l’OS Windows, TCP/IP, Linux

Durée : 3 jours

Public : administrateur, analyste SOC, ingénieur sécurité

Jour 1 matin

  • Section 1 - Introduction à la cybersécurité 

    • La “cybersécurité” d’avant

    • Présentation du programme Creeper

    • Présentation du projet Rabbit

    • La cybersécurité d’aujourd’hui et ses risques (Wannacry, Stuxnet)

    • La dangerosité des données numériques

    • Qui sont les responsables ? quelles motivations ont-ils?

    • Classification des risques selon le gouvernement français

  • Section 2 - Le monde de l’investigation

    • Introduction et approche du forensique

    • Présentation de la timeline historique

    • Les objectifs en infosec

    • Définition et étymologie du terme 

    • Présentations des dérivés de la discipline 

    • Les organismes référents en la matière, tels que l’ENISA et le SANS

    • Présentation des cinq principes fondamentaux

    • Définition de la méthodologie OSCAR

    • Liaisons avec le computer forensic

    • Liaisons avec le memory forensic

    • Liaisons avec le mobil forensic

  • Section 3 - Enregistrement et surveillance

    • Sources utiles d’analyse basées sur l’hôte

    • Sources utiles d’analyse basées sur le réseau

    • La technologie SIEM (SEM / SIM)

  • Section 4 - Les différents types de données

    • Définitions des données volatiles et non volatiles

    • Les données complètes

    • Les données de session

    • Les données d’alerte 

    • Les Métadonnées

  • Section 5 - Acquisition des preuves et sondes

    • Approche légale

    • Les différents types d’acquisitions

    • Les acquisitions par câble et les sondes

    • Les acquisitions sans fil et les modes de capture

    • Les acquisitions offensives

  • Section 6 - Rappel des bases réseau

    • Rappels sur le modèle OSI 

    • Rappels sur le modèle TCP/IP

    • Les différents matériels réseau

    • Définitions et exemples d’ IPS / IDS / WIDS

    • Rappels sur les protocoles DHCP, DNS, ARP, HTTP / HTTPS

  • Section 7 - Présentation des outils connus

    • Les outils de capture de paquets, tels que TCPDump / Dumpcap

    • SIEM : Détection prévention d’intrusion tel que AlienVault

    • Les analyseurs de flux, tels que Argus

    • Network Incident Detection System, tel que Snort

    • Les outils d’analyse à grande échelle, tels que Moloch et Wireshark

Jour 1 après-midi

  • Section 8 - TD / WireShark

    • Présentation de l’interface de Wireshark

    • Les différentes options de capture

    • Présentation de la barre d’outil Wireshark

    • Les règles de coloration sous Wireshark

    • Exercice / Créer ses propres règles de coloration

    • Les filtres d’affichage

    • Exercice / créer ses propres filtres rapides

    • Les profils sous wireshark

    • Exercice / créer de profils adaptés aux besoins

    • Effectuer des recherches avancées 

    • Les filtres de capture

    • Les filtres Berkeley Packets Filter

    • Les boutons raccourcis de Wireshark

    • Exercice / Créer ses propres boutons 

    • Export des données et enregistrement de fichier

    • Le bouton de pré-analyse WireShark

    • Utilisation des statistiques 

Jour 2  Matin

  • Section 10 - TD / Mise en pratique

    • Exercice / Prise en main Wireshark

    • Exercice / Lancement des investigations (TP1, TP2)

  • Section 11 - Le rapport d’investigation

    • Comprendre le déroulé d’une attaque avec le MITRE - ATT&CK

    • Rédaction du contexte

    • Création de schéma de la typologie réseau

    • Présentation des preuves et hash d’intégrité

    • Rédaction des processus d’analyse

    • Edition de la timeline des événements

    • Rédaction de la conclusion 

    • Émettre des recommandations

Jour 2 après-midi

  • Section 12 - TP / Analyse réseau

    • Identifier une erreur de type ARP Storm

    • Identifier une attaque DHCP Starvation 

    • Identifier une attaque ARP spoofing 

    • Identifier un Scan réseau

    • Identifier une exfiltration de données

    • Identifier un téléchargement via torrent

Jour 3 Matin 

  • Section 13 - Cas réels d’entreprise TP

    • Etude de cas réels d’entreprise

    • Analyse de captures réseau

    • Utilisations des outils, méthodes et techniques

    • Rédaction d’un rapport forensique en réponse aux problèmes posés

Jour 3 après-midi

  • Section 14 - TD / Installation / Utilisation et détection via SIEM

    • Mise en place du LAB ;

    • Installation de AlienVault ;

    • Configuration de l’OSSIM ;

    • Détection / configuration des hôtes ;

    • Mise en place d’agents sur les clients ;

    • Détection de vulnérabilités ;

    • Détection d’une attaque par exploit 

    • Examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)

Certification ou badge : badge

Durée de l'examen : 2 heures

Type d'examen : QCM

Cette formation permet de valider 0 point de compétence pour le Mastère ESD academy.

Pour obtenir le diplôme "Mastère ESD academy", il est nécessaire de valider 12 points de compétence ainsi que le passage devant un jury.

Livret stagiaire : livret_stagiaire_investigationnumeriquereseau.pdf

Cahier d'exercice : cahier_exercice_investigationnumeriquereseau.pdf

Machines virtuelles : VM_investigationnumeriquereseau.ova

Aide-mémoire :aide-mémoire-investigationnumériquereseau.png

Contactez-nous pour une inscription ou tout renseignement concernant la formation.