cybersécurité

DURÉE:
4 jours
ID:
CAFR

Analyse forensique avancée & réponse à incidents


OBJECTIFS :

  • Maîtriser les procédures en cas d’intrusion sur un matériel
  • Collecter les preuves et veiller à leur intégrité
  • Être en mesure d’identifier et d’analyser, à postériori, les empreintes numériques laissées

PROGRAMME DE FORMATION:

Introduction à l’analyse Inforensique

Gestion des incidents

  • Préparation : outillages, techniques et procédure de gestion des incidents
  • Détection et analyse des incidents cybersécurité
  • Threat hunting et Threat intelligence

Analyse live Inforensique

  • Concept et intérêt du live inforensique
  • Détection de présence de malware
  • Détection d’intrusion
  • Prise en main des outils SysInternals

Méthode de récolte de preuve : dump de ram et de disque

  • Méthode de récolte de preuve inforensique
  • Respect de la chaîne de confiance
  • Dump de ram : dumpit, fmem, lime, FTK Imager
  • Dump disque : dd, dcfldd, FTK Imager

Analyse de la mémoire

  • Fonctionnement de la mémoire
  • Architecture de la mémoire
  • Identification de processus malveillants
  • Analyse des artefacts réseau
  • Détection et analyse d’injection de code
  • Détection et analyse de rootkit
  • Récupération de fichiers et informations présentes en mémoire
  • Prise en main de l’outil Volatility

Analyse du système de fichier

  • Découverte des artefacts Windows
  • Volume Shadow Copy
  • Organisation des systèmes de fichiers NTFS, FAT32, EXT3 et ET4
  • Création et analyse de timeline avec TheSleuthit (TSK)
  • Création et analyse de supertimeline avec Plaso
  • Etudes des différentes méthodes de carving

INFORMATIONS COMPLÉMENTAIRES :

PUBLIC VISÉ

  • Responsables sécurité
  • Professionnels de l’investigation légale
  • Ingénieurs / administrateurs système

PRÉ-REQUIS

  • Connaissance générale des attaques et vulnérabilités
  • Bonnes connaissances en sécurité informatique
  • Bonnes connaissances en réseaux et systèmes

RESSOURCES

  • Supports pédagogiques
  • 30% de théorie
  • 70% de pratique

MODALITÉS D’ACCÈS

  • Présentiel
  • A distance
  • Interentreprises
  • Intra-entreprise

MÉTHODES PÉDAGOGIQUES

  • Apport magistral et interactivité
  • Travaux pratiques

ÉVALUATION

  • Exercices pratiques
  • Mise en situation