Work package 1: Support de premier niveau de réponses à incidents

DESCRIPTION DU COURS

Les étudiants auront une formation de 4 jours, ce qui devrait leur permettre d’acquérir les compétences et comprendre les processus et les besoins nécessaires pour construire leur propre équipe de CSIRT locale afin d’effectuer les interventions de premier niveau. Des ateliers pratiques seront effectués afin d’apprendre à exécuter ces procédures.

Les supports de cours donnés aux étudiants sont en anglais mais les cours seront dispensés en français.

Un analyste de sécurité senior dispensera le cours; le cours commencera par une actualisation de l’état des menaces. Ensuite, les connaissances suivantes seront dispensées;

Cours magistraux:

• État de la menace
  • Intrusions
    • Motivations
    • Tactiques
    • Windows : problèmes de sécurité, et mouvements latéraux
    • Groupes APT
  • DDoS
    • Détail techniques sur les Attaques DDos
  • Fraude au président et Phishing

• État de la menace : les Malwares
  • Historique : du virus au malware, histoire et évolution vers la monétisation
  • Taxonomie
  • Capacités des malwares
  • Problèmes d’identification et de détections
  • Aperçu des infrastructures C2
    • Infrastructure réseaux (Botnets)
    • DGA
    • Réseaux « Fastflux »
    • Schémas de compromission classiques
  • Focus sur les malwares actuels

• Préparation à la réaction (Détection, réaction, lesson learn)
  • Préparation des journaux d’activités
  • Synchronisation du temps
  • Préparation de la réponse sécurité
  • Comment contenir (IDS, Honey pots, RPZ dns)
  • Pourquoi, Comment, gestion des communications externe et publiques

• Le travail d’une équipe CSIRT
  • Organisation d’une équipe CSIRT
    • Outils nécessaires et organisation
    • L’approche SIM3
    • Équipes et organisations internationales
  • Collection des preuves 101
    • Comment prendre des preuves (Art de la mémoire et vidage de disque)
    • Sandbox (utilisation, avantages et restrictions)
    • Pour aller plus loin, Outillage de base (Volatility, Sysinternals, Outils de détection)
  • Confinement et bonnes réactions
    • Actions appropriées contre les menaces
    • Comment faire face à une menace externe
    • Comment faire face à la menace interne

Workshops:

• Réponse à l’incidents en pratique
  • Réaliser un memory dump
    • Préparation du matériel
    • Captation de la mémoire
    • Validation de l’image générée
    • Envois des images à CERT-XLM
  • Réaliser une captation de disque
    • Préparation du matériel
    • Captation disque via « WriteBlocker »
    • Captation disque via OS tiers
    • Lancement de l’analyse Bulk
      • Log2timeline
      • Bulkextractor
      • Mounting + av scanning
    • Récupérer et analyser un email
      • Extraction et sécurisation de l’email
      • Conversion du format eml
      • Validation de l’émail reçu
    • Déployer un EDR
      • Qu’est-ce qu’un EDR
      • Déployer l’EDR agent via scripts
      • Nettoyage de l’EDR agent
    • Gestion d’un incident avec CERT-XLM
      • Prise en main du Kit d’intervention (Jump bag)
      • Qualification des incidents et bonne pratiques
      • Collections des informations initiales
      • Ouverture de case
      • Echange de documents via SFTP CERT-XLM
      • Mise en place et Echange via PGP
      • Génération de rapport avec l’outil FastIR
      • Génération de rapport avec l’outil PingCastle

PREREQUIS

Pour effectuer ces activités, le client doit assister à la formation avec un ordinateur portable disposant d’une connexion Internet. De plus, cet ordinateur portable devra prendre en charge un environnement virtualisé (VMware ou Virtual Box).

Les clients doivent avoir les compétences de base dans les lignes de commandes UNIX afin de pouvoir effectuer les activités de laboratoire.

La liste des participants doit être communiquée à Excellium une semaine avant la formation.

Work package 2: Support de premier niveau de réponses à incidents

DESCRIPTION DU COURS

Les étudiants auront une formation de 4 jours, ce qui devrait leur permettre d’acquérir les compétences et comprendre les processus et les besoins nécessaires pour construire leur propre équipe de CSIRT locale afin d’effectuer les interventions de premier niveau. Des atelier pratique seront effectués afin d’apprendre à exécuter ces procédures.

Les supports de cours donnés aux étudiants sont en anglais mais les cours seront dispensés en français.

Un analyste de sécurité senior dispensera le cours; le cours commencera par une actualisation de l’état des menaces. Ensuite, les connaissances suivantes seront dispensées;

Cours magistraux:

• État de la menace
  • Intrusions
    • Motivations
    • Tactiques
    • Windows : problèmes de sécurité, et mouvements latéraux
    • Groupes APT
  • DDoS
    • Détail techniques sur les Attaques DDos
  • Fraude au président et Phishing

• État de la menace : les Malwares
  • Historique : du virus au malware, histoire et évolution vers la monétisation
  • Taxonomie
  • Capacités des malwares
  • Problèmes d’identification et de détections
  • Aperçu des infrastructures C2
    • Infrastructure réseaux (Botnets)
    • DGA
    • Réseaux « Fastflux »
    • Schémas de compromission classiques
  • Focus sur les malwares actuels

• Préparation à la réaction (Détection, réaction, lesson learn)
  • Préparation des journaux d’activités
  • Synchronisation du temps
  • Préparation de la réponse sécurité
  • Comment contenir (IDS, Honey pots, RPZ dns)
  • Pourquoi, Comment, gestion des communications externe et publiques

• Le travail d’une équipe CSIRT
  • Organisation d’une équipe CSIRT
    • Outils nécessaires et organisation
    • L’approche SIM3
    • Équipes et organisations internationales
  • Collection des preuves 101
    • Comment prendre des preuves (Art de la mémoire et vidage de disque)
    • Sandbox (utilisation, avantages et restrictions)
    • Pour aller plus loin, Outillage de base (Volatility, Sysinternals, Outils de détection)
  • Confinement et bonnes réactions
    • Actions appropriées contre les menaces
    • Comment faire face à une menace externe
    • Comment faire face à la menace interne

Workshops

• Réponse à l’incidents en pratique
  • Réaliser un memory dump
    • Préparation du matériel
    • Captation de la mémoire
    • Validation de l’image générée
    • Envois des images à CERT-XLM
  • Réaliser une captation de disque
    • Préparation du matériel
    • Captation disque via « WriteBlocker »
    • Captation disque via OS tiers
    • Lancement de l’analyse Bulk
      • Log2timeline
      • Bulkextractor
      • Mounting + av scanning
    • Récupérer et analyser un email
      • Extraction et sécurisation de l’email
      • Conversion du format eml
      • Validation de l’émail reçu
    • Déployer un EDR
      • Qu’est-ce qu’un EDR
      • Déployer l’EDR agent via scripts
      • Nettoyage de l’EDR agent
    • Gestion d’un incident avec CERT-XLM
      • Prise en main du Kit d’intervention (Jump bag)
      • Qualification des incidents et bonne pratiques
      • Collections des informations initiales
      • Ouverture de case
      • Echange de documents via SFTP CERT-XLM
      • Mise en place et Echange via PGP
      • Génération de rapport avec l’outil FastIR
      • Génération de rapport avec l’outil PingCastle

PREREQUIS

Pour effectuer ces activités, le client doit assister à la formation avec un ordinateur portable disposant d’une connexion Internet. De plus, cet ordinateur portable devra prendre en charge un environnement virtualisé (VMware ou Virtual Box).

Les clients doivent avoir les compétences de base dans les lignes de commandes UNIX afin de pouvoir effectuer les activités de laboratoire.

La liste des participants doit être communiquée à Excellium une semaine avant la formation.