Centre des opérations

Appréhendez les enjeux autour de technologie de supervision et de surveillance de réseau et d’application, en découvrant et manipulant les principaux outils du Security Operation Center, tel que ELK ou encore Splunk Wazuh.

Security Operation Center

4 Leçons – 130 min

Lorsque l’on se penche sur les principales structures qui entrent en jeu pour garantir la sécurité des réseaux informatiques, il peut être difficile de s’y retrouver : NOC, MOC, SOC

  • NOC : Network Operations Center
  • MOC : Maintenance Opérations Center
  • SOC : Security Opérations Center

 

Dans cette formation, vous apprendrez comment comprendre les subtilités qui se cachent derrière chacun de ces acronymes.

01. Introduction du cours

Incon introduction à la cybersécurité

02. Security Operations Center SOC

40 min

Incon introduction à la cybersécurité

1. Présentation du SOC

Compositions

Le SOC (Security Operations Center, Centre Opérationnel de Sécurité) est une équipe de personnels chargée de surveiller, détecter, analyser et qualifier les événements de sécurité et d’améliorer en permanence la sécurité d’une organisation : incidents effectifs, ou potentiels (prévention, par identification de menaces identifiées pour des composants présents dans l’organisation).

Ceux-ci sont séparés par métiers suivant la taille et la maturité du SOC et sont répartis parmi :

Analyse et réponse à incident

  • Opérateurs de premier niveau
  • Analyste de second niveau

 

Vérification de la sécurité

  • Auditeur sécurité / pentester

 

Gestion du SI

  • Administrateurs système
  • Architectes SI

💡À ce titre, le SOC dispose d’outils de surveillance et d’audits de la sécurité – éventuellement développés en interne – et de procédures de réaction et de communication. Le SOC est un organe fédérateur, permettant de centraliser toute la gestion de la sécurité de l’organisation.

Missions

Les missions principales du SOC sont les suivantes :

Prévention

  • Anticipation des attaques par réalisation de veille sécuritaire, identification de problèmes potentiels

 

Gestion des incidents de cybersécurité

  • Détection
  • Réponse aux incidents de cybersécurité, en s’appuyant sur des technologies et des procédures bien définies

 

Suivi et pilotage

Des actions mises en place dans le cadre de la prévention ou de la correction d’incidents mais également dans la gouvernance générale du SOC

Stratégie

La stratégie d’un SOC doit être à la fois clairement définie, spécifique à l’organisation (toutes les organisations n’ont évidemment pas les mêmes contraintes en matière de sécurité), et fortement soutenue par le management de plus haut niveau de l’organisation, afin que les autres membres de l’organisation le perçoivent comme un élément essentiel pour le reste de l’organisation.

03. Netword Operations Center & Convergence avec le SOC

40 min

Incon introduction à la cybersécurité

QUIZ. SOC, NOC & convergence

10 min

Incon introduction à la cybersécurité

05 Déploiement d’un SOC

30 mi4

Incon introduction à la cybersécurité

SIEM

1 Leçon – 40 min

SIEM est l’abréviation de Security Information & Event Management (gestion des informations et des événements de sécurité). Il s’agit d’une solution qui combine des outils existants, à savoir SIM (Security Information Management) et SEM (Security Event Management).

Les solutions SIEM modernes comprennent également des technologies telles que SOAR pour automatiser la réponse aux menaces et UEBA pour détecter les menaces sur la base d’un comportement anormal. Ensemble, elles permettent une détection et une réponse accélérées aux événements ou incidents de sécurité dans un environnement informatique. Elles fournissent une vue complète et centralisée de la posture de sécurité d’une infrastructure informatique et donnent aux professionnels de la cybersécurité un aperçu des activités au sein de leur environnement informatique.

01. SIEM (Security Information and Event Management)

30 min

Incon introduction à la cybersécurité

QUIZ. SIEM

10 min

Incon introduction à la cybersécurité

Qradar

1 Leçon – 30 min

QRadar est un outil SIEM d’IBM permettant de collecter et de trier les logs générées par des produits de surveillance des infrastructures.

01. Installation et découverte de QRadar CE

30 min

Incon introduction à la cybersécurité

Splunk

1 Leçon – 30 min

La plateforme de données évolutive de Splunk permet une sécurité unifiée, une observabilité full-stack et un nombre illimité d’applications sur-mesure.

01. SIEM: Splunk vs Suite Elastic (ELK)

30 min

Incon introduction à la cybersécurité

Wazuh

2 Leçons – 70 min

Wazuh est une solution de surveillance de la sécurité gratuite, open source et prête à l’emploi pour la détection des menaces, la surveillance de l’intégrité, la réponse aux incidents et la conformité.

01. Wazuh – HIDS

30 min

Incon introduction à la cybersécurité

02. Wazuh – HIDS – Gestion agents et cas d’usage

30 min

Incon introduction à la cybersécurité

QUIZ. Wazuh

10 min

Incon introduction à la cybersécurité

Syslog-ng

1 Leçon – 60 min

Linux et de multiples équipements réseaux effectuent une journalisation des événements qui s’opèrent sur leur système. Ces journaux sont stockés localement et basés sur le protocole Syslog.

L’intérêt d’un serveur Syslog-ng est donc de permettre une centralisation de ces journaux d’événements, permettant de repérer plus rapidement et efficacement les défaillances de machines présentes sur un réseau.

01. Parsing de Log xml avec Syslog-ng

60 min

Incon introduction à la cybersécurité

Endpoint Detection and Response

1 Leçon – 30 min

La détection et la réponse aux points d’extrémité (EDR), également connue sous le nom de détection et réponse aux menaces sur les points d’extrémité (ETDR), est une solution intégrée de sécurité des points d’extrémité qui combine une surveillance continue en temps réel et la collecte de données sur les points d’extrémité avec des capacités de réponse et d’analyse automatisées basées sur des règles.

01. Introduction à l’EDR 

30 min

Incon introduction à la cybersécurité

Mail

information@seela.io