Mise en place d’un SIEM

Formations Mise en place d’un SIEM

OBJECTIF

Ce cours est un guide pratique visant à présenter les technologies défensives autour de la terminologie SIEM et de la détection d’intrusion. Le contenu est indépendant de tout constructeur et vise à donner une vue globale et impartiale, sur les aspects fonctionnels et techniques. L’objectif est de fournir aux stagiaires les outils et les connaissances nécessaires pour aborder un marché où les solutions sont multiples, complexes et par- fois difficiles à discerner.
Nous étudierons dans un premier temps la mise en place de sondes de détection d’intru- sion autour des solutions Suricata et OSSEC. Les stagiaires apprendront notamment à écrire des règles de détection Snort et OSSEC.

En particulier, les objectifs de la formation sont les suivants:

  • Comprendre les limites des outils de sécurité classiques
  • Découvrir les principes technologiques derrière l’acronyme SIEM

PREREQUIS

• Maîtrise de l’administration Linux

• Bonnes connaissances réseau / système

• Notions de Scripting

INFORMATION GENERALES

• Code : MSIEM
• Durée : 4 jour
• Horaires : 8h30 - 17h30
• Lieu : centre de formation, Centre Urbain Nord, Tunis

PUBLIC VISE

  • • Consultants en sécurité
  • • Ingénieurs / Techniciens
  • • Responsables techniques

RESSOURCES

• Support de cours
• 40% de démonstration
• 40% de théorie
• 20% d’exercices pratiques

PROGRAMME DE LA FORMATION

  • Jours 1
  • Rôle de la détection d’intrusion Terminologie

    • • Faux positifs, détection, prévention, etc.
    • Architectecure et types d’IDS Présentation de l’IDS Suricata Langage d’écriture de règles TP
    • Mise en place d’une architecture IDS
    • Jeu d’attaque et création de règles de détection (scans, brutforce, exploitation de vulnérabilité).

  • Jours 2
  • Présentation du HIDS OSSEC et architecture

    • • Déploiement et configuration de base
    • Syntaxe d’écriture de règles TP
    • Ecriture de règles
    • Limites des IDS
    • Points importants dans le cadre d’un appel d’offre

  • Jours 3
  • Défis modernes posés à la supervision classique

    • • Objectifs d’un SIEM
    • Architecture et fonctionnalités
    • Syslog et centralisation des journaux
    • Synchronisation du temps (NTP)
    • Présentation d’ELK
    • Configuration avancée de Logstash

  • Jours 4
  • TP

    • • Configuration d’agents Logstash
    • Ecriture de Groks avancés
    • Environnement hétérogène: Linux, Windows
    • Virtualisation des résulats dans Kibana Conslusion
    • Discussion sur les solutions alternatives
    • Préparation des points-clés pour un appel d’offre

N'hésitez pas à contacter nos experts pour toute information supplémentaire, étude et calcul gratuit d'un service d'audit.