Dernière mise à jour le 20/07/2024

Analyse inforensique avancée et réponse aux incidents – niv perfectionnement et expert

Informations générales

Type de formation : Formation continue
Domaine : Cybersécurité - sécurité informatique
Filière : Investigation, réponses à incidents
Rubrique : Investigation numérique - inforensic
Formation éligible au CPF : Non
Formation Action collective : Non

Objectifs & compétences

Réaliser une investigation numérique sur le système d’exploitation Windows

Public visé

Administrateurs, analystes SOC et ingénieurs sécurité.

Pré-requis

Avoir des connaissances sur l’IOS Windows, TCP/IP, Linux - Avoir suivi le cours Ref AIRI1

Programme

Programme détaillé   
 
Etat de l'art de l'investigation numérique
 
• Introduction à l'investigation numérique
• Lien entre les différentes disciplines Forensics
• Méthodologie d'investigation légale (chaîne de custody, rapport et méthode OSCAR)
• Vocabulaire et taxonomie
• Les différents OS Windows
•  Les fondamentaux Windows
• Fondamentaux Windows
• Système de fichiers / Arborescence
• Séquence de boot Windows
• Base de registre
• Logs (evtx, log pilotes…)
• Variables d'environnements
• Services et les différents accès (services.exe, Powershell)
• Fondamentaux FAT32
• Fondamentaux NTFS (New Technology File System)  
 
Exemple de travaux pratiques (à titre indicatif) Analyse d'un disque   
 
Collecte des données  
 
• Les outils du marché (SleuthKit)
• Présentation du Framework ATT&CK du MITRE et points d'entrées des cyberattaques
• Arbres d'attaque
• Les signes de compromissions (corrélation ATT&CK)
• Collecte des données physique et virtualisation
• Présentation du Lab
•  Exemple de travaux pratiques (à titre indicatif)
Collecte de données   
 
Artefacts  
 
Différents artefacts Internet
• Pièces jointes
• Open / Save MRU
• Flux ADS Zone. Identifier
• Téléchargements
• Historique Skype
• Navigateurs internet
• Historique
• Cache
• Sessions restaurées
• Cookies
 
Différents artefacts exécution
• UserAssist
• Timeline Windows 10
• RecentApps
• Shimcache
• Jumplist
• Amcache.hve
• BAM / DAM
• Last-Visited MRU
• Prefetch   
 
Différents artefacts fichiers / dossiers
• Shellbags
• Fichiers récents
• Raccourcis (LNK)
• Documents Office
• IE / Edge Files  
 
Différents artefacts réseau
• Termes recherchés sur navigateur
• Cookie
• Historique
• SRUM (ressource usage monitor)
• Log Wi-Fi
 
Différents artefacts comptes utilisateur
• Dernières connexions
• Changement de mot de passe
• Echec / réussite d'authentification
• Evènement de service (démarrage)
• Evènement d'authentification
• Type d'authentification
• Utilisation du RDP (Remote Desktop Protocol)  
 
Différents artefacts USB
• Nomination des volumes
• Evènement PnP (Plug et Play)
• Numéros de série  
 
Différents artefacts fichiers supprimés
• Tools (recurva…)
• Récupération de la corbeille
• Thumbcache
• Thumb.db
• WordWheelQuery  
 
Exemples de travaux pratiques (à titre indicatif) Recherche d'un spear shiphing Retracer l'exécution d'un programme Découverte d'un reverse shell Analyse eternal blue Première investigation

Modalités

Modalités : en présentiel, distanciel ou mixte – Horaires de 9H à 12H30 et de 14H à 17H30 soit 7H – Intra et Inter entreprise
Pédagogie : essentiellement participative et ludique, centrée sur l’expérience, l’immersion et la mise en pratique. Alternance d’apports théoriques et d’outils pratiques.
Ressources techniques et pédagogiques : Support de formation au format PDF ou PPT Ordinateur, vidéoprojecteur, Tableau blanc, Visioconférence : Cisco Webex / Teams / Zoom
Pendant la formation : mises en situation, autodiagnostics, travail individuel ou en sous-groupe sur des cas réels

Méthodes

Fin de formation : entretien individuel
Satisfaction des participants : questionnaire de satisfaction réalisé en fin de formation
Assiduité : certificat de réalisation (validation des acquis)
Code de formation : AIRI2

Tarifs

Prix public : 1400
Tarif & financement :
Nous vous accompagnons pour trouver la meilleure solution de financement parmi les suivantes :
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.
  • CPF -MonCompteFormation
Contactez nous pour plus d’information

Lieux & Horaires

Durée : 14 heures
Délai d'accès :
Jusqu’à 8 jours avant le début de la formation

Prochaines sessions

Handi-accueillante Accessible aux personnes en situations de handicap. Pour toutes demandes, contactez notre référente, Mme Rizlene Zumaglini Mail : rzumaglini@aston-ecole.com

à voir aussi dans le même domaine...

Formation continue

Investigation, réponses à incidents

IEM1

Inforensique sur équipement mobile – niveau initiation

Introduction sur les smartphones (android, Iphone) Découvrir le contenu du disque

7 heures de formations sur 1 Jours
En savoir plus

Formation continue

Investigation, réponses à incidents

IEM23

Inforensique sur équipement mobile – perfectionnement et expert

Etre capable de déterminer où et comment récupérer les données sur un téléphone Savoir récupérer des données préalablement effacées sur un téléphone

21 heures de formations sur 3 Jours
En savoir plus

Formation continue

Investigation, réponses à incidents

INL

Investigation numérique Linux

acquérir les compétences et la méthodologie pour une investigation numérique sur les systèmes GNU / Linux. La méthodologie et l’étude des différents artefacts sont développées et mises à jour régulièrement afin que le candidat puisse pratiquer ce qu’il a vu en formation sur les dernières versions des systèmes GNU / Linux.

28 heures de formations sur 4 Jours
En savoir plus

Formation continue

Investigation, réponses à incidents

REVA1

Recherche et exploitation de vulnérabilité sous ANDROID – niveau initiation

Introduction au système Android Présentation des outils d’analyse

7 heures de formations sur 1 Jours
En savoir plus

Formation continue

Investigation, réponses à incidents

AIRI1

Analyse inforensique avancée et réponse aux incidents – niveau initiation

Les bases de la réponse à incident et de l'analyse inforensique Approche de l'analyse inforensique sur les principaux domaines techniques Analyses ciblées et exercices avancés

7 heures de formations sur 1 Jours
En savoir plus

Formation continue

Investigation, réponses à incidents

REVA2

Recherche et exploitation de vulnérabilité sous ANDROID – niveau perfectionnement

Préparation à l’analyse Prise d’information Attaque de l’API Reverse Engineering

14 heures de formations sur 2 Jours
En savoir plus