• English
  • Mon - Fri 8.00 - 18.00
  • 5 rue Goell L-5326 Contern
  • + 352 26 20 39 64
Excellium University
  • Home
  • Сourses
    • Data Privacy
    • Hacking & Forensics
    • Security Management
    • Security Product
    • Application Security
    • Security Awareness
  • About Us
    • All instructors
  • Contact Us
  • Home
  • Сourses
    • Data Privacy
    • Hacking & Forensics
    • Security Management
    • Security Product
    • Application Security
    • Security Awareness
  • About Us
    • All instructors
  • Contact Us

Analyse Forensique

Teachers
Paul Jung
Category:
APPLICATION SECURITY /
Analyse Forensique

Duration: 4 days

DATE :

On-demand

Work package 1: Support de premier niveau de réponses à incidents

DESCRIPTION DU COURS

Les étudiants auront une formation de 4 jours, ce qui devrait leur permettre d’acquérir les compétences et comprendre les processus et les besoins nécessaires pour construire leur propre équipe de CSIRT locale afin d’effectuer les interventions de premier niveau. Des ateliers pratiques seront effectués afin d’apprendre à exécuter ces procédures.

Les supports de cours donnés aux étudiants sont en anglais mais les cours seront dispensés en français.

Un analyste de sécurité senior dispensera le cours; le cours commencera par une actualisation de l’état des menaces. Ensuite, les connaissances suivantes seront dispensées;

Cours magistraux:

  • État de la menace
    • Intrusions
      • Motivations
      • Tactiques
      • Windows : problèmes de sécurité, et mouvements latéraux
      • Groupes APT
    • DDoS
      • Détail techniques sur les Attaques DDos
    • Fraude au président et Phishing
  • État de la menace : les Malwares
    • Historique : du virus au malware, histoire et évolution vers la monétisation
    • Taxonomie
    • Capacités des malwares
    • Problèmes d’identification et de détections
    • Aperçu des infrastructures C2
      • Infrastructure réseaux (Botnets)
      • DGA
      • Réseaux « Fastflux »
      • Schémas de compromission classiques
    • Focus sur les malwares actuels
  • Préparation à la réaction (Détection, réaction, lesson learn)
    • Préparation des journaux d’activités
    • Synchronisation du temps
    • Préparation de la réponse sécurité
    • Comment contenir (IDS, Honey pots, RPZ dns)
    • Pourquoi, Comment, gestion des communications externe et publiques
  • Le travail d’une équipe CSIRT
    • Organisation d’une équipe CSIRT
      • Outils nécessaires et organisation
      • L’approche SIM3
      • Équipes et organisations internationales
    • Collection des preuves 101
      • Comment prendre des preuves (Art de la mémoire et vidage de disque)
      • Sandbox (utilisation, avantages et restrictions)
      • Pour aller plus loin, Outillage de base (Volatility, Sysinternals, Outils de détection)
    • Confinement et bonnes réactions
      • Actions appropriées contre les menaces
      • Comment faire face à une menace externe
      • Comment faire face à la menace interne

 

Workshops:

  • Réponse à l’incidents en pratique
    • Réaliser un memory dump
      • Préparation du matériel
      • Captation de la mémoire
      • Validation de l’image générée
      • Envois des images à CERT-XLM
    • Réaliser une captation de disque
      • Préparation du matériel
      • Captation disque via « WriteBlocker »
      • Captation disque via OS tiers
      • Lancement de l’analyse Bulk
        • Log2timeline
        • Bulkextractor
        • Mounting + av scanning
      • Récupérer et analyser un email
        • Extraction et sécurisation de l’email
        • Conversion du format eml
        • Validation de l’émail reçu
      • Déployer un EDR
        • Qu’est-ce qu’un EDR
        • Déployer l’EDR agent via scripts
        • Nettoyage de l’EDR agent
      • Gestion d’un incident avec CERT-XLM
        • Prise en main du Kit d’intervention (Jump bag)
        • Qualification des incidents et bonne pratiques
        • Collections des informations initiales
        • Ouverture de case
        • Echange de documents via SFTP CERT-XLM
        • Mise en place et Echange via PGP
        • Génération de rapport avec l’outil FastIR
        • Génération de rapport avec l’outil PingCastle

PREREQUIS

Pour effectuer ces activités, le client doit assister à la formation avec un ordinateur portable disposant d’une connexion Internet. De plus, cet ordinateur portable devra prendre en charge un environnement virtualisé (VMware ou Virtual Box).

Les clients doivent avoir les compétences de base dans les lignes de commandes UNIX afin de pouvoir effectuer les activités de laboratoire.

La liste des participants doit être communiquée à Excellium une semaine avant la formation.

Work package 2: Support de premier niveau de réponses à incidents

DESCRIPTION DU COURS

Les étudiants auront une formation de 4 jours, ce qui devrait leur permettre d’acquérir les compétences et comprendre les processus et les besoins nécessaires pour construire leur propre équipe de CSIRT locale afin d’effectuer les interventions de premier niveau. Des atelier pratique seront effectués afin d’apprendre à exécuter ces procédures.

Les supports de cours donnés aux étudiants sont en anglais mais les cours seront dispensés en français.

Un analyste de sécurité senior dispensera le cours; le cours commencera par une actualisation de l’état des menaces. Ensuite, les connaissances suivantes seront dispensées;

Cours magistraux:

  • État de la menace
    • Intrusions
      • Motivations
      • Tactiques
      • Windows : problèmes de sécurité, et mouvements latéraux
      • Groupes APT
    • DDoS
      • Détail techniques sur les Attaques DDos
    • Fraude au président et Phishing
  • État de la menace : les Malwares
    • Historique : du virus au malware, histoire et évolution vers la monétisation
    • Taxonomie
    • Capacités des malwares
    • Problèmes d’identification et de détections
    • Aperçu des infrastructures C2
      • Infrastructure réseaux (Botnets)
      • DGA
      • Réseaux « Fastflux »
      • Schémas de compromission classiques
    • Focus sur les malwares actuels
  • Préparation à la réaction (Détection, réaction, lesson learn)
    • Préparation des journaux d’activités
    • Synchronisation du temps
    • Préparation de la réponse sécurité
    • Comment contenir (IDS, Honey pots, RPZ dns)
    • Pourquoi, Comment, gestion des communications externe et publiques
  • Le travail d’une équipe CSIRT
    • Organisation d’une équipe CSIRT
      • Outils nécessaires et organisation
      • L’approche SIM3
      • Équipes et organisations internationales
    • Collection des preuves 101
      • Comment prendre des preuves (Art de la mémoire et vidage de disque)
      • Sandbox (utilisation, avantages et restrictions)
      • Pour aller plus loin, Outillage de base (Volatility, Sysinternals, Outils de détection)
    • Confinement et bonnes réactions
      • Actions appropriées contre les menaces
      • Comment faire face à une menace externe
      • Comment faire face à la menace interne

 

Workshops

  • Réponse à l’incidents en pratique
    • Réaliser un memory dump
      • Préparation du matériel
      • Captation de la mémoire
      • Validation de l’image générée
      • Envois des images à CERT-XLM
    • Réaliser une captation de disque
      • Préparation du matériel
      • Captation disque via « WriteBlocker »
      • Captation disque via OS tiers
      • Lancement de l’analyse Bulk
        • Log2timeline
        • Bulkextractor
        • Mounting + av scanning
      • Récupérer et analyser un email
        • Extraction et sécurisation de l’email
        • Conversion du format eml
        • Validation de l’émail reçu
      • Déployer un EDR
        • Qu’est-ce qu’un EDR
        • Déployer l’EDR agent via scripts
        • Nettoyage de l’EDR agent
      • Gestion d’un incident avec CERT-XLM
        • Prise en main du Kit d’intervention (Jump bag)
        • Qualification des incidents et bonne pratiques
        • Collections des informations initiales
        • Ouverture de case
        • Echange de documents via SFTP CERT-XLM
        • Mise en place et Echange via PGP
        • Génération de rapport avec l’outil FastIR
        • Génération de rapport avec l’outil PingCastle

PREREQUIS

Pour effectuer ces activités, le client doit assister à la formation avec un ordinateur portable disposant d’une connexion Internet. De plus, cet ordinateur portable devra prendre en charge un environnement virtualisé (VMware ou Virtual Box).

Les clients doivent avoir les compétences de base dans les lignes de commandes UNIX afin de pouvoir effectuer les activités de laboratoire.

La liste des participants doit être communiquée à Excellium une semaine avant la formation.

CONTACT

About Instructors

Paul Jung
Paul Jung is since a long time a security enthusiast. He possesses a wide range of skills and experiences that enable him to perform multiple roles from offensive security audit to security incident handling.

Duration: 4 days

Contact

  • Excellium : 5 rue Goell L-5326 Contern or Oxiane 20, rue de l’Industrie – L – 8399 Windhof (Koerich)
  • +352 26 20 39 64 or Oxiane +352 27 39 35 1
  • training@excellium-services.com
Copyright © 2017 Excellium University
Mentions légales
Privacy Statement
  • Home
  • About Us
  • Courses
  • Contact Us
Search