Objectifs de la formation

• Connaitre les obligations légales en matière de conservation des données
• Connaitre la démarche d'une analyse de log
• Installer et configurer Syslog
• Appréhender la corrélation et l'analyse avec SEC

---

Programme de la formation

La collecte des informations

• L'hétérogénéité des sources. Qu'est-ce qu'un événement de sécurité ?
• Le Security Event Information Management (SIEM). Les événements collectés du SI.
• Les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.).
• La collecte passive en mode écoute et la collecte active.

Travaux pratiques

Démarche d'une analyse de log. La géolocalisation d'une adresse. La corrélation de logs d'origines différentes, visualiser, trier et chercher les règles.

Optimiser la sécurité du SI : outils, bonnes pratiques, pièges à éviter

• Panorama des solutions et des produits.
• Etude de Syslog.
• Le programme SEC.
• Le logiciel Splunk.
• La législation française.

Travaux pratiques

Installation et configuration de Syslog, de SEC, de Splunk, ELK ou autre. Exemple d'analyse et de corrélation des données.

La détection d'intrusion, principales problématiques

• Bien comprendre les protocoles réseaux (TCP, UDP, ARP, ICMP, routeurs, firewall, proxy...)
• Les attaques sur TCP/IP (spoofing, déni de service, vol de session, attaque SNMP...)
• Intelligence Gathering, recherche de traces, scans de réseaux.
• Détecter trojans, backdoors, exploitation de bugs navigateurs, Covert Channels, agents de déni de service distribués...
• Attaques et exploitation des failles (prise de contrôle, DDoS, buffer overflow, Rootkits...).