Analyste SOC (Security Operation Center)
Proposé par
M2I
Prérequis
Public admis
- Salarié en Poste
- Entreprise
Demandeur d'emploi et Etudiant non admis
Financement
- Votre OPCO
- Financement personnel
Financement CPF non pris en charge
Modalités
- En centre
- À distance
Objectifs pédagogiques
A l'issue de cette formation, vous serez capable de :
- Décrire l'état de l'art du SOC (Security Operation Center)
- Répondre aux besoins des enjeux liés à la cybersécurité et des menaces par le métier d'analyste SOC.
Programme de la formation
Jour 1 - SOC et métier d'analyste
Etat de l'art du SOC (Security Operation Center)
- Définition du SOC
- Les avantages, l'évolution du SOC
- Les services intégrés au SOC, les données collectées, playbook
- Le modèle de gouvernance du SOC
- Approche SSI (Sécurité des Systèmes d'Information)
- Type de SOC
- CERT (Computer Emergency Response Team)
- CSIRT (Computer Security Incident Response Team)
- Prérequis et rôles d'un analyste SOC
- Techniques
- Soft skills
- Rôles
- Modèles
- Les référentiels
- ATT&CK
- DeTT&CT
- Sigma
- MISP (Malware Information Sharing Platform)
Exemple de travaux pratiques (à titre indicatif)
- Utilisation du framework ATT&CK via Navigator (attaque et défense)
Focus sur l'analyste SOC
- Quel travail au quotidien ?
- Triage des alertes
- Révision et état de sécurité
- Identification et rapport
- Threat Hunting
Exemple de travaux pratiques (à titre indicatif)
- Utilisation de l'outil SYSMON
Les sources de données à monitorer
- Indicateur Windows
- Processus, firewall...
- Service WEB
- Serveur
- WAF
- Activité
- IDS/IPS
- EDR, XDR
- USB
- DHCP, DNS
- Antivirus, EPP
- DLP, Whitelist
Exemple de travaux pratiques (à titre indicatif)
- Cas d'usage et ligne de défense
Jour 2 - Découverte et mise en place du SIEM
Tour d'horizon du SIEM
- Contexte du SIEM
- Solution existante
- Principe de fonctionnement d'un SIEM
- Les objectifs d'un SIEM
- Solution de SIEM
Présentation de la suite Elastic
- Les agents BEATS, sysmon
- Découverte de Logstash
- Découverte d'Elasticsearch
- Découverte de Kibana
Exemple de travaux pratiques (à titre indicatif)
- Mise en place d'ELK et première remontée de log
Jour 3 - Analyse, Logstash, Elasticsearch
Logstash (ETL)
- Fonctionnement de Logstash
- Les fichiers Input et Output
- Enrichissement
- Les filtres Groks et sources externes
Elasticsearch
- Terminologie
- Syntax Lucene
- Alerte avec ElastAlert et Sigma
Exemples de travaux pratiques (à titre indicatif)
- Création d'alertes, alarmes
- Utilisation d'ElastAlert et Sigma
Kibana
- Recherche d'événements
- Visualisation des données
Exemples de travaux pratiques (à titre indicatif)
- Création d'un filtre sur Kibana
- Ajout de règles de détection, IoC
- Allez plus loin dans l'architecture ELK avec HELK
Jour 4
Cyber entraînement
Exemples de travaux pratiques (à titre indicatif)
- Mise en situation : l'analyste SOC est en situation et doit identifier plusieurs scénarios d'attaque lancés par le formateur
- Configurer un SIEM et l'exploiter
Jour 5
Rapport
- L'analyste SOC doit :
- Rapporter les attaques
- Détecter et identifier les menaces, les impacts
- Vérifier si son système d'information est touché
Exemple de travaux pratiques (à titre indicatif)
- Créer un rapport des attaques interceptées et évaluer l'impact
Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation
Proposé par
M2I
"Un leadership dans le domaine de la formation"
Proposé par
M2I
