picto Sécurité

Formation Mise en place d'un SIEM

Maîtrisez votre gestion d'évènements

Référence

SIEM

Durée

4 JOURS

Tarif

2400 € HT

NIVEAU

Intermédiaire

Cours à distance

Non

Objectifs de la formation Mise en place d'un SIEM

Ce cours est un guide pratique visant à présenter les technologies défensives autour de la terminologie SIEM et de la détection d'intrusion. Le contenu est indépendant de tout constructeur et vise à donner une vue globale et impartiale, sur les aspects fonctionnels et techniques. L'objectif est de fournir à l'étudiant les outils et les connaissances nécessaires pour aborder un marché où les solutions sont multiples, complexes et parfois difficile à discerner.
Nous étudions dans un premier temps la mise en place de sondes de détection d'intrusion autours des solutions Suricata et OSSEC. Les étudiants apprennent notamment à écrire des règles de détection Snort et OSSEC.
Nous apprenons ensuite comment centraliser et gérer les journaux en provenance de ces sondes et d'autres sources des systèmes d'exploitation. Après un bref rappel des menaces contemporaines et des défis posés aux équipes de supervision comme aux outils historiques, nous nous attachons enfin à décrire le fonctionnement d'une solution SIEM et de ses avantages dans le cadre de la gestion de ces évènements. Nous réalisons la mise en pratique des connaissances sur une plate- forme libre, au code source ouvert, et très en vogue : ELK (Elastic Search, Logstash, Kibana). En conclusion, nous faisons un tour des points-clé à retenir dans le cadre d'un appel d'offre pour choisir la solution du marché la plus adaptée à son besoin.

Plus concrètement, à l'issue de ce stage vous aurez acquis les compétences et connaissances nécessaires pour:
- Comprendre les limites des outils de sécurité classiques
- Découvrir les principes technologiques derrière l'acronyme SIEM
- Apprendre à détecter les menaces parmi un grand volume d'information

Pré-Requis

Ce cours est un guide pratique visant à présenter les technologies défensives autour de la terminologie SIEM et de la détection d'intrusion. Le contenu est indépendant de tout constructeur et vise à donner une vue globale et impartiale, sur les aspects fonctionnels et techniques. L'objectif est de fournir à l'étudiant les outils et les connaissances nécessaires pour aborder un marché où les solutions sont multiples, complexes et parfois difficile à discerner.
Nous étudions dans un premier temps la mise en place de sondes de détection d'intrusion autours des solutions Suricata et OSSEC. Les étudiants apprennent notamment à écrire des règles de détection Snort et OSSEC.
Nous apprenons ensuite comment centraliser et gérer les journaux en provenance de ces sondes et d'autres sources des systèmes d'exploitation. Après un bref rappel des menaces contemporaines et des défis posés aux équipes de supervision comme aux outils historiques, nous nous attachons enfin à décrire le fonctionnement d'une solution SIEM et de ses avantages dans le cadre de la gestion de ces évènements. Nous réalisons la mise en pratique des connaissances sur une plate- forme libre, au code source ouvert, et très en vogue : ELK (Elastic Search, Logstash, Kibana). En conclusion, nous faisons un tour des points-clé à retenir dans le cadre d'un appel d'offre pour choisir la solution du marché la plus adaptée à son besoin.

Plus concrètement, à l'issue de ce stage vous aurez acquis les compétences et connaissances nécessaires pour:
- Comprendre les limites des outils de sécurité classiques
- Découvrir les principes technologiques derrière l'acronyme SIEM
- Apprendre à détecter les menaces parmi un grand volume d'information

Public

Ce cours s'adresse à des Consultants en sécurité, Ingénieurs / Techniciens et Responsables techniques.

Contenu du cours Mise en place d'un SIEM

Jour 1

Rôle de la détection d'intrusion
Terminologie : faux-positifs, détection, prévention, etc.
Architecture et types d'IDS
Présentation de l'IDS Suricata
Déploiement et configuration de base
Langage d'écriture de règles
Journalisation via Syslog

Travaux Pratiques

Mise en place d'une architecture IDS virtualisée : firewall, cible, attaquant
Jeu d'attaques et création de règles de détection (scans, bruteforce, exploitation de vulnérabilité)

Jour 2

Présentation du HIDS OSSEC et architecture
Déploiement et configuration de base
Syntaxe d'écriture de règles

Travaux Pratiques

Ecriture de règles

Limites des IDS
Intégration avec les autres composants du SI
Points importants dans le cadre d'un appel d'offre

Jour 3

Défis modernes posés à la supervision classique
Objectifs d'un SIEM
Architecture et fonctionnalités
Syslog et centralisation des journaux
Synchronisation du temps (NTP)
Présentation d'ELK
Configuration avancée de Logstash

Jour 4

Travaux Pratiques

Configuration d'agents Logstash
Ecritures de Groks avancés
Environnement hétérogène : Linux, Windows

Visualisation des résultats dans Kibana
Conclusion
Discussions sur les solutions alternatives
Préparation des points-clés pour un appel d'offre