Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
Accueil > Domaines > Sécurité > Analyse inforensique avancée

Analyse inforensique avancée

La vraisemblance que votre entreprise ou que vos clients soient la victime d’une intrusion est importante. L’objectif de la formation est alors de vous préparer au mieux en vous présentant des techniques et des outils permettant de répondre à un incident de sécurité (du simple prestataire malveillant à des attaques plus complexes). L’ensemble de la formation sera réalisée autours d’un cas fictif d’une compromission d’une entreprise de taille intermédiaire afin de présenter les procédures et techniques à mettre en place permettant d’être scalable en fonction de la taille de votre entreprise.

Objectifs

  • Appréhender la corrélation des évènements
  • Retro-concevoir des protocoles de communications
  • Analyser des systèmes de fichiers corrompus
  • Connaître et analyser la mémoire volatile des systèmes d'exploitation

Public

  • Investigateurs numériques souhaitant progresser
  • Analystes des SOC et CSIRT (CERT)
  • Administrateurs système, réseau et sécurité
  • Experts de justice en informatique

Prérequis

  • Avoir une bonne expérience opérationnelle en informatique
  • Avoir une expérience en analyse post-mortem sous Windows et maitriser le processus d'investigation sur un poste Windows
  • Ou avoir réussi la certification INFORENSIC1 ou la certification INFO1 ou la certification CEH CHFI ou une des certifications GIAC GCFA ou GCFE

Programme de la formation

Section 1 : Introduction à l’inforensique réseau

  • Incident de sécurité
    • Présentation
      • Quels sont les étapes d’une intrusion ?
      • Quels impacts de celles-ci ?
    • Indices de compromission (IOC)
      • Introduction au threat intel (Misp, Yeti, etc.)
      • Quels sont les outils / ressource à disposition ?
      • Création d’IOC
    • Hunting & Triage (à distance ou en local)
      • GRR
      • Kansa
      • OS Query
      • Comment analyser et automatiser l’analyse du résultat de notre hunting ? NSRLDB, Packing/Entropie/, etc…

Section 2 : Analyse post-mortem réseau

  • Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feux, Syslog)
  • Analyse de capture réseau (PCAP)
  • Analyse statistique des flux (Netflow)
  • Canaux de communications avec les serveurs de Command and Control
  • Détection des canaux de communications cachées (ICMP, DNS)
  • Détection des techniques de reconnaissances
  • Création de signatures réseaux

Section 3 : Mémoire volatile

  • Introduction aux principales structures mémoires
  • Analyse des processus
    • Processus « cachés »
    • Traces d’injection de code et techniques utilisées
    • Process-Hollowing
  • Shellcode - détection et analyse du fonctionnement
  • Handles
  • Communications réseaux
  • Kernel : SSDT, IDT, Memory Pool
  • Utilisation de Windbg
    • Création de mini-dump
    • Analyse « live » d’un système

Section 4 : FileSystem (NTFS only)

  • Introduction au FS NTFS et aux différents artefacts disponibles
  • Présentation de la timerules sous Windows/Linux/OSX
  • Timeline filesystem
    • Timestomping + toutes les opérations pouvant entravers une timeline « only fs »

Section 5 : Trace d’exécution et mouvement latéraux

  • Trace de persistances
    • Autostart (Linux/Windows/OSX)
    • Services
    • Tâches planifiées
    • WMI
  • Active Directory – Détecter une compromission
    • Comment générer une timeline des objets AD ?
    • Recherche de « backdoor » dans un AD (bta, autres outils, …)
    • Présentation des principaux EventID et relations avec les outils d’attaques (golden ticket, etc.)

Section 6 : Super-Timeline

  • Présentation
    • Cas d’utilisations : Timesketch

Section 7 : Quizz de fin de formation