Ferme la recherche

Analyse inforensique avancée

Descriptif

Durée de la formation

Durée 35 heures
En centre 35 heures

Session

du 23 nov. 2020 au 27 nov. 2020  - Paris - 9ème (75)
+ autres sessions
du 23 nov. 2020 au 27 nov. 2020  - Paris - 9ème (75)
du 23 nov. 2020 au 27 nov. 2020  - Paris - 9ème (75)

Objectif de la formation

Appréhender la corrélation des événements
Retro
- concevoir des protocoles de communications
Analyser des systèmes de fichiers corrompus
Connaître et analyser la mémoire volatile des systèmes d'exploitation

Description de la formation

Section 1 : Introduction à l'inforensique réseau
Incident de sécurité
Présentation
Quels sont les étapes d'une intrusion ?
Quels impacts de celles
- ci ?
Indices de compromission (IOC)
Introduction au threat intel (Misp, Yeti, etc.)
Quels sont les outils / ressource à disposition ?
Création d'IOC
Hunting & Triage (à distance ou en local)
GRR
Kansa
OS Query
Comment analyser et automatiser l'analyse du résultat de notre hunting ?
NSRLDB
Packing/Entropie/, etc...
Section 2 : Analyse post
- mortem réseau
Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare
- feux, Syslog)
Analyse de capture réseau (PCAP)
Analyse statistique des flux (Netflow)
Canaux de communications avec les serveurs de Command and Control
Détection des canaux de communications cachées (ICMP, DNS)
Détection des techniques de reconnaissances
Création de signatures réseaux
Section 3 : Mémoire volatile
Introduction aux principales structures mémoires
Analyse des processus
Processus "cachés"
Traces d'injection de code et techniques utilisées
Process
- Hollowing
Shellcode
- détection et analyse du fonctionnement
Handles
Communications réseaux
Kernel : SSDT, IDT, Memory Pool
Utilisation de Windbg
Création de mini
- dump
Analyse "live" d'un système
Section 4 : FileSystem (NTFS only)
Introduction au FS NTFS et aux différents artefacts disponibles
Présentation de la timerules sous Windows/Linux/OSX
Timeline filesystem
Timestomping + toutes les opérations pouvant entravers une timeline "only fs"
Section 5 : Trace d'exécution et mouvement latéraux
Trace de persistances
Autostart (Linux/Windows/OSX)
Services
Tâches planifiées
WMI
Active Directory
- Détecter une compromission
Comment générer une timeline des objets AD ?
Recherche de "backdoor" dans un AD (bta, autres outils, ...)
Présentation des principaux EventID et relations avec les outils d'attaques (golden ticket, etc.)
Section 6 : Super
- Timeline
Présentation
Cas d'utilisations
Timesketch
Section 7 : Quizz de fin de formation

Conditions d'accès

Avoir une bonne expérience opérationnelle en informatique
Avoir une expérience en analyse post-mortem sous Windows et maitriser le processus d'investigation sur un poste Windows
Ou avoir réussi la certification HS2 INFORENSIC1 ou la certification HSC INFO1 ou la certification CEH CHFI ou une des certifications GIAC GCFA ou GCFE

Validation

Attestation d'acquis ou de compétences;Attestation de suivi de présence

Donne accès au(x) métier(s) suivant(s)

Direction des systemes d'information (voir la fiche métier)

Etudes et developpement informatique (voir la fiche métier)

Et après la formation ?

Retour à l'emploi des anciens stagiaires

EXCELLENT

Conseils
Les questions à poser avant de choisir un centre de formation
  • Quels sont les profils des anciens stagiaires (niveau de formation, expérience professionnelle) ?
  • Est-il possible de visiter le centre ?
  • Quel type de public accueillez-vous en formation (salariés, demandeurs d’emploi, particuliers) ?
  • Peut-on obtenir une liste de ces anciens stagiaires pour les interroger sur cette formation ?
  • Comment aidez-vous les stagiaires à trouver un emploi ?

G-echo

Lieu de formation

Salle de formation
11 Rue de la Rochefoucauld
Paris - 9ème

Calculez votre itinéraire

Centre de formation

G-echo
6 Avenue de la Gare
31380, Garidech

Toutes les formations et avis pour G-echo