Formation Opérateur Analyste SOC

Vous disposez d’une bonne formation de base en informatique (bac+3 à bac+5), vous êtes curieux, inventif et doté d’une forte capacité d’analyse et de synthèse, profitez des opportunités de carrière exceptionnelles qu’offrent la filière Cybersécurité et exercez un métier passionnant, au cœur des métiers et des enjeux des entreprises.

Vous souhaitez vous reconvertir en Cybersécurité

Devenez Opérateur Analyste SOC

L’analyste SOC assure la supervision du système d’information de l’organisation afin de détecter des activités suspectes.

Il identifie, catégorise, analyse et qualifie les évènements de sécurité en temps réel ou de manière asynchrone sur la base de rapports d’analyse sur les menaces.

Il contribue au traitement des incidents de sécurité avérés en support des équipes de réponse aux incidents de sécurité.

Cette formation couvre les principes fondamentaux des opérations SOC, de la gestion et corrélation des logs, du déploiement SIEM, de la détection avancée des incidents et réponse aux incidents.

Le programme met l’accent sur la création de nouvelles possibilités de carrière grâce à des connaissances approfondies pour contribuer de façon dynamique à une équipe SOC.

Dans le domaine de la cybersécurité, l’analyste SOC fait (partie) aujourd’hui des profils les plus recherchés.

Nombre de places disponibles par session : 20
Type de contrat : POEI / POEC
Durée et lieu de la formation : 53 jours à Nanterre(92) – ou à distance le temps de la crise sanitaire (matériel de formation fournis par Devenez)

Les + de la formation

Détails de la formation

Durée

■ 53 jours

Objectifs pédagogiques

■ Comprendre le processus SOC de bout en bout

■ Comprendre les techniques d'analyse et de détection d’intrusion

■ Détecter les intrusions avec les modèles de menace

■ Savoir mettre en œuvre les solutions de prévention dans un SOC

Cette formation est composée de quatre volets :

■ Un volet gouvernance

■ Un volet technique

■ Un volet de compétences transverses (savoir-être et méthode)

■ Un volet de mise en situation pratique

Programme

Objectifs et missions d’un SOC

■ Aborder les termes et définitions de la sécurité des systèmes d’information

■ Découvrir les métiers du SOC

■ Comprendre les concepts et l’environnement d’un SOC

■ Découvrir les fonctions d’un SOC (prévention, détection et remédiation)

■ Analyser la structure et le fonctionnement d’un SOC : Processus, ressource humaine et pilotage.

■ Appréhender les moyens humains, logistiques et applicatifs associés aux rôles et tâches d’une équipe SOC.

■ Déployer un SOC : (délimitation des besoins, la phase de "Build" et du "Run").

■ Externaliser le SOC.

Les fondamentaux de la cybersécurité

■ S’exercer avec les outils de Google Hacking et l'exploration du Deep Web.

■ Comprendre les baes de la cryptographie.

■ Introduction à la "Cyber Kill Chain, à l'OSINT.

■ S’initier aux techniques de prise d'empreinte.

■ Découvrir le fonctionnement des monnaies virtuelles.

■ Identifier les mécanismes cryptographiques employés par les Ransomwares.

La continuité d’activité

■ Découvrir les normes ISO 27001, Management de la sécurité de l'information et ISO 22301, référence internationale en continuité d’activité.

■ Intégrer l’amélioration continue.

■ Garantir une haute disponibilité avec un PCA et un PRA pour le SOC.

Introduction au python

■ Acquérir les bases de la programmation procédurale.

■ Aborder la notion de conception orientée objet.

■ Réaliser une première application.

Introduction au RGPD

■ Définir les aspects juridiques du RGPD.

■ Comprendre l'importance des obligations du RGPD.

■ S'assurer de la licéité du traitement.

■ Réaliser une analyse d'impact relative à la protection des données.

■ Tenir le registre des activités du traitement.

■ Parcourir la taxonomie des données.

■ Évaluation du risque associé au RGPD

Posture du consultant

■ Être capable de se présenter dans un temps limité et savoir se vendre en entretien.

■ Être capable de répondre à une question dans un temps limité.

■ Apprendre à présenter le résultat d’un travail, par écrit et à l’oral.

■ Apprendre à gérer les conflits et travailler en équipe.

Sécurisation des Réseaux

■ Comprendre les protocoles réseaux aussi que leurs failles & remédiations associées.

■ Mettre des mesurées de protection et durcissement avec des VLANs.

■ Aborder les différences et points communs entre l’IPV4 et l’IPV6.

■ Explorer les vulnérabilités WI-FI.

■ Découvrir les vulnérabilités spécifiques de l’ARP et l’ICMP.

■ Analyser le routage forcé de paquets IP (source routing).

■ Étudier le fonctionnement :

• de la fragmentation IP et les règles de réassemblage.

• des attaques par déni de service.

• de la prédiction des numéros de séquence TCP.

• du vol de session TCP : hijacking (Hunt, Juggernaut).

• des attaques sur l’SNMP.

• des attaques par TCP Spoofing (Mitnick).

Concepts et règles d'architectures sécurisées

■ Découvrir les méthodes de conception d’une architecture sécurisée.

■ Apprendre à se protéger « by design » : conception d’architecture de sécurité défensive par le cloisonnement cinématique des flux et la rupture protocolaire.

■ Générer une matrice de flux.

■ Configurer une DMZ.

■ Comprendre le principe des « pots de miel » (Honeypots).

■ Réaliser une étude de cas.

Administration et durcissement Linux

■ Gérer des droits - Sécurité des programmes avec AppArmor.

■ Partitionnement et systèmes de fichiers - LVM - GRUB & Secure-Boot.

■ Durcir Debian 10 - Signaux et processus

■ Gérer des paquets - Service/systemctl - Gestion des logs – Nftables

■ Décrypter de la journalisation locale.

■ Découvrir Kali Linux

Administration et durcissement Windows

■ Comprendre le durcissement de Windows

■ Décrypter la journalisation locale

■ Installer Windows Serveur 2019

■ Activation et configuration du domaine

■ Activation et configuration du service Active Directory

■ Détecter une intrusion administrateur dans l'Active Directory (l'agent WinlogBeat)

ITIL v4 : l’essentiel

■ Comprendre la terminologie et les concepts d'ITIL

■ Identifier les principes directeurs d'ITIL 4 pouvant aider une organisation à adapter le management des services.

■ Acquérir les 4 dimensions de la gestion des services

■ Comprendre la valeur ajoutée d'ITIL

Sécurité des systèmes mobiles

■ Découvrir les fondamentaux de la sécurisation des systèmes mobiles avec Android : architecture, sandboxing, permission, rooting, composantes d’une application

■ Réaliser une attaque « Man-in-the-middle » sur Android

Configurer les outils de la sécurité périmétrique (firewall – proxy – IPS - VPN)

■ Généralités sur les UTM.

■ Découvrir le fonctionnement d'un firewall de nouvelle génération.

■ Identifier les types de filtrages et de firewalls.

■ Configurer le routage d’un réseau, la translation d’adresses dynamique et statique et par port, l’ordre d’application des règles de NAT, du Proxy HTTPS, de l’analyse antivirale de l’IPS et du filtrage de contenu.

■ Configurer un portail d'authentification.

■ Mettre en place un tunnel VPN Ipsec et SSL.

■ Associer l’authentification transparente et la liaison à un annuaire.

■ Exporter les données vers un SIEM.

■ Réaliser un lab complet reprenant tous les éléments ci-dessus avec Stormshield.

Management des événements de la sécurité du SI

■ Comprendre le fonctionnement d’un SIEM au sein d'un SOC.

■ Apprendre à gérer une variété d'incidents.

■ Configurer l'analyse de vulnérabilité.

■ Comprendre l'analyse des logs.

■ Collecter l’information provenant des pare-feu, IPS, IDS, Routeur, commutateur, points d'accès, proxy et serveurs web / mail.

■ Agréger les logs

■ Normaliser les traces brutes pour obtenir des valeurs probantes.

■ Corréler en appliquant des règles pour permettre d'identifier un événement qui a causé la génération des logs

■ Créer un reporting pour générer des tableaux de bord et des rapports

■ Archiver pour garantir l'intégrité des traces pour des raisons juridiques et réglementaires.

■ Rejouer les événements pour mener des enquêtes post-incidents.

■ Savoir réagir à un évènement de sécurité

■ Étudier la mise en place d’un SIEM open source (ELK) :

• Présentation de la suite ELK

• Découverte d'Elasticsearch

• Découverte de Logstash

• Découverte de Kibana

• Étudier la mise en place d’un SIEM propriétaire européen certifié EAL 3+ (Logpoint)

• Configurer les listes

• Enrichir les données

• Configurer les vues de recherche

• Mettre en place les reportings

• Gérer les alertes

• Configurer les tableaux de bord

• Configurer le directeur et la confidentialité des données

• Devancer les menaces internes avec l’analyse comportementale avec l’UEBA (Analyse du comportement des entités et des utilisateurs)

Réponse aux incidents de sécurité

■ Maitriser le processus de réponse à incident à l’aide des normes et bonnes pratiques fournies par :

• Le NIST.

• L'ISO 27035.

• L’ANSSI.

• L’ENISA.

■ Limiter l'impact d'une compromission.

■ Gérer un tableau de bord des incidents.

■ Faire un lien avec les processus ITILv4

■ Présentation des outils CTI (Cyber Threat Intelligence).Limiter l'impact d'une compromission.

Analyse forensic

■ Connaître les différents types de crimes informatiques et le rôle de l'enquêteur informatique.

■ Établir la preuve numérique.

■ Mettre en place une analyse forensic d’un système.

■ Analyser l’étude forensic d'un système d'exploitation Windows, Linux et Android.

■ S’initier à l’intelligence gathering.

■ Découvrir les méthodes d’analyses post-mortem (Forensics).

Certification CSA - Analyste SOC Niveau I & II Code de l’examen : 312-39

La certification SOC Analyste (CSA) est la première étape pour rejoindre un SOC. Il est conçu pour les analystes de niveau I et II afin de leur permettre d’acquérir les compétences nécessaires pour effectuer des opérations de premier et deuxième niveau.

Le programme de la certification aborde 6 modules :

1. Management de la sécurité.

2. Comprendre les cybermenaces, l’indicateur de compromission (IoCs) et les méthodologies d’attaques.

3. Incidents, événements et journalisation.

4. Détection des incidents avec un SIEM.

5. Amélioration de la détection des incidents avec les Cyber Threats Intelligence (CTI) : OSINT, SOCMINT, HUMINT et le dark web.

6. Réponse à incidents.

Nombre de questions : 100

Durée : 3 heures

Score requis : 70% de bonnes réponses

Mise en situation professionnelle - Préparation à la certification professionnelle

■ Mettre en place à travers un cahier des charges l’ensemble des méthodes et technologies vues lors de l’ensemble de la formation. Formalisation et présentation des résultats de l’étude.

■ Soutenance individuelle devant jury.

Participants

■ Bac+2 à 5, diplômé de l’enseignement supérieur en informatique ou d’écoles d’ingénieur orientée NTIC, (Bac+2 acceptés si expérience en réseau, système ou programmation).

Prérequis

Compétences techniques :

■ Compétences techniques :

■ Curiosité et le goût pour l'expertise technique et pour les nouvelles technologies.

■ Bonnes bases en système et en réseau.

■ Connaissances de base en programmation (idéalement sur le langage Python) seraient un plus.

Savoir être :

■ Autonomie et organisation.

■ Bon niveau de communication et forte capacité à fournir un suivi de votre activité.

■ Bonne capacité d’analyse et de synthèse.

■ Rigueur et méthode.

■ Capacité à travailler en équipe et à respecter des procédures.

Formateur et pédagogie

■ Chaque formateur à une double casquette celle d’expert et de pédagogue. C’est cette double compétence qui garantit une acquisition de compétences optimum pour chaque stagiaire.

■ L’organisation pédagogique privilégie les aspects pratiques (70% du temps de la formation) : démonstrations, travaux pratiques, simulation, travaux dirigés et rapportés.

Rythme et séquençage d'apprentissage

■ Les formations à distance sont donc des cours synchrones qui requièrent la présence de tous comme dans une salle de formation virtuelle.

■ Le rythme est de 9h à 13h et 14h à 17h.

Accompagnement

■ Pour chaque session de formation, en plus du formateur, un modérateur membre de l’équipe pédagogique veille à la bonne marche de la formation à distance. Il reste connecté à la formation, vérifie les connexions, répond aux questions ou difficultés des stagiaires.

■ Un questionnaire en ligne de satisfaction est rempli par les stagiaires.

Évaluation

■ Les cursus complets sont validés par la réalisation d’un projet de 5 jours et par une soutenance en ligne face un jury de professionnels du métier. Cette mise en situation professionnelle permet de vérifier l’ensemble des acquis au travers d’un projet à réaliser par le stagiaire et de sa soutenance individuelle devant un jury composé de professionnels (métier et formation).

Cette offre de formation Kalis Consulting est proposée en partenariat avec Devenez.fr

DEVENEZ (Groupe Fitec) propose une nouvelle approche du recrutement en fusionnant complètement le processus d’embauche et celui de la formation.

Depuis plus de 10 ans, le Groupe Fitec met en application ce dispositif, en proposant à plus de 450 entreprises du secteur de l’IT et des nouvelles technologies de recruter via un dispositif de sourcing couplé à une formation métier formant ainsi plus de 1.400 candidats par an.

Plus de 200 Consultants Cybersécurité (intégration, administration, gouvernance) sortent chaque année du programme de formation ; plus de 100 entreprises bénéficient aujourd’hui, à l’issu de ces programmes, d’un personnel qualifié & opérationnel.

Devenez Opérateur Analyste SOC