03 20 61 95 06

Formation Analyste SOC – Security Operation Center


  • SEC-SOC
  • Durée : 8 jours
  • Tarif : 4460 € HT

96%

Taux de satisfaction clients
(sur 1512 évaluations du 19/05/21 au 23/10/24)

Voir les avis

Objectifs

A l’issue de la formation le participant sera capable de :
Expliquer l’état de l’art du SOC (Security Operation Center)
Répondre aux besoins des enjeux cybers et des menaces par le métier d’analyste SOC.

Prérequis

Un entretien en amont avec notre expert permet de prendre en compte le profil de chaque participant (niveau, objectifs et résultats attendus, contexte professionnel, enjeux…) et d’adapter le contenu de la formation si besoin.
Avoir des connaissances générales en sécurité offensive et défensive et des notions sur le fonctionnement des systèmes d’exploitation.

Public

Administrateurs système et/ou réseaux, consultants en sécurité de l’information

Dernière mise à jour

Programme mis à jour le 24 octobre 2024
enveloppe Cette formation vous intéresse ? Contactez-nous

Bon à savoir

Evaluez votre niveau

Pour vous aider à bien choisir votre formation, nous vous proposons soit un entretien avec le formateur soit un test d’évaluation. Cela vous assurera que vous disposez des connaissances nécessaires pour suivre la formation dans des conditions optimales.

Formations modulables

Toutes nos formations sont disponibles en présentiel comme en distanciel, en mode coaching individuel ou en groupe de 3 à 6 participants maximum.

Travaux pratiques

Nos formations comprennent de nombreux travaux pratiques pour un meilleur apprentissage (60 % de pratique). Nous proposons également de travailler sur vos données pour une meilleure expérience.
modules

Les Modules
de formation

Module1
SOC et métier d'analyste

Etat de l’art du Security Operation Center

Définition du SOC
Les avantages, l’évolution du SOC
Les services intégrés au SOC, les données collectées, playbook
Le modèle de gouvernance du SOC (approche SSI, type de SOC, CERT, CSIRT)
PDIS (Prestataires de Détection d’Incidents de Sécurité) de l’ANSSI
Prérequis et rôles d’un analyste SOC (techniques, soft skills, rôles, modèles)
Les référentiels (ATT&CK, DeTT&CT, Sigma, MISP)
Exemple de démonstration : utilisation du Framework ATT&CK via Navigator (attaque et défense)
Module2
Découverte et mise en place du SIEM

Focus sur l’analyste SOC

Quel travail au quotidien ?
Triage des alertes
Révision et état de sécurité
Identification et rapport
Threat Hunting
Exemple de démonstration : utilisation de l’outil Sysmon
Module3
Threat Hunting

Les sources de données à monitorer

Indicateur Windows (processus, firewall…)
Service Web (serveur, WAF, activité)
IDS / IPS
EDR, XDR
USB
DHCP, DNS
Antivirus, EPP
DLP, whitelist
Email
Exemple de travaux pratiques (à titre indicatif)  :
  Cas d’usage et ligne de défense
Module4
Analyse, Logstash, Elasticsearch

Tour d’horizon du SIEM

Contexte du SIEM
Solution existante
Principe de fonctionnement d’un SIEM
Les objectifs d’un SIEM
Solution de SIEM
Module5
Présentation de la suite Elastic
Les agents BEATS et Sysmon
Découverte de Logstash
Découverte d’Elasticsearch
Découverte de Kibana
Exemple de travaux pratiques (à titre indicatif) :
  Mise en place d’ELK et première remontée de log
Module6
Logstash (ETL)

Fonctionnement de Logstash

Les fichiers Input et Output
Enrichissement : les filtres Groks et sources externes
Module7
Elasticsearch

Terminologie

Syntax Lucene
Alerte avec ElastAlert et Sigma
Exemple de démonstration : utilisation d’ElastAlert et Sigma
Exemple de travaux pratiques (à titre indicatif)
Création d’alertes, alarmes
Module8
Kibana

Recherche d’événements

Visualisation des données
Exemple de démonstration :
Création d’un filtre sur Kibana
Ajout de règles de détection, IoC
Allez plus loin dans l’architecture ELK avec HELK
Module9
Cyber-entraînement et rapport

Mise en situation

L’analyste SOC est en situation et doit identifier plusieurs scénarios d’attaque lancés par le formateur
Exemple de travaux pratiques (à titre indicatif) :
  Configurer un SIEM et l’exploiter
Module10
Travaux Pratiques

Détecter une cyber attaque simple
Détecter une cyber attaque complexe (APT MITRE ATT&CK)

Module11
Rapport

L’analyste SOC doit rapporter les attaques, détecter et identifier les menaces, impacts et vérifier si son système d’information est touché

Exemple de travaux pratiques (à titre indicatif) /
  Créer un rapport des attaques interceptées et évaluer l’impact
Module12
Initiation à la gestion des incidents

Réponse aux incidents

Etat de l’art de la réponse aux incidents (CSIRT, CERT, FIRST, CERT-FR)
Les différents métiers du CSIRT
Quelle méthode, quel framework pour un CSIRT ?
PRIS (Prestataires de Réponse aux Incidents de Sécurité) de l’ANSSI
Communication avec le CSIRT
Alerter le CSIRT lors d’une détection
Comment le CSIRT procède lors d’une crise et quelle réponse apporte-t-il aux incidents ?
Module13
Synthèse

Echange autour des différents travaux / rapport des stagiaires lors de la formation : points positifs / points négatifs

Quelle conclusion pour la méthodologie d’un analyse SOC

Les prochaines
sessions de formation

Sur demande
Vous souhaitez organiser cette formation à une date spécifique ?Contactez-nous en remplissant le formulaire ci-dessous
09 décembre 2024
03 février 2025
24 mars 2025
12 mai 2025

Cette formation vous intéresse ? Contactez-nous !

    Les données personnelles collectées sont destinées à Access IT Company et utilisées pour traiter votre demande et, lorsque vous ne vous y êtes pas opposé, vous communiquer nos offres commerciales. Les données obligatoires vous sont signalées sur le formulaire par un astérisque. L’accès aux données est strictement limité par Access IT Company aux collaborateurs en charge du traitement de votre demande. Conformément au Règlement européen n°2016/679/UE du 27 avril 2016 sur la protection des données personnelles et à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès, de rectification, d’effacement, de portabilité et de limitation du traitement des donnés vous concernant ainsi que du droit de communiquer des directives sur le sort de vos données après votre mort. Vous avez également la possibilité de vous opposer au traitement des données vous concernant. Vous pouvez exercer vos droits en contactant le DPO à l’adresse suivante : [email protected] ou à l’adresse postale suivante 2, Allée Lavoisier, 59650 Villeneuve d’Ascq. Pour plus d’informations sur le traitement de vos données personnelles par Access IT Company, veuillez consulter notre politique de confidentialité disponible sur notre site internet à l’adresse suivante : https://formation.access-it.fr/politique-de-confidentialite/