28.4.12 – Travaux pratiques – Gestion des incidents Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur. Objectifs Faites appel à vos connaissances en procédures de gestion des incidents pour formuler des questions sur les scénarios d’incidents donnés. Contexte/scénario La gestion des incidents liés à la sécurité informatique est désormais au cœur de chaque entreprise. La gestion d’un incident peut s’avérer complexe et impliquer plusieurs groupes de collaborateurs. Toute entreprise doit disposer de standards pour la gestion des incidents, qu’elle mettra en œuvre sous…

27.2.16 – Travaux pratiques – Examiner une attaque sur un hôte Windows Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur. Objectifs Au cours de ces travaux pratiques, vous allez: Partie 1: Enquêter sur l’attaque avec Sguil Partie 2: Utiliser Kibana pour enquêter sur les alertes Ces travaux pratiques sont basés sur un exercice du site web malware-traffic-analysis.net qui est une excellente ressource pour apprendre à analyser les attaques de réseaux et d’hôtes. Merci à [email protected] pour l’autorisation d’utiliser le matériel de son site.…

27.2.15 – Travaux pratiques – Enquêter sur une exploitation d’un logiciel malveillant Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur. Objectifs Au cours de ces travaux pratiques, vous allez: Partie 1: Utiliser Kibana pour en savoir plus sur une exploitation malveillante Partie 2: Enquêter sur l’exploit avec Sguil Partie 3: Utiliser Wireshark pour enquêter sur une attaque Partie 4: Examiner les artifacts d’exploits Ces travaux pratiques sont basés sur un exercice du site web malware-traffic-analysis.net qui est une excellente ressource pour apprendre à…

27.2.14 – Travaux pratiques – Isoler un hôte compromis en utilisant un 5- tuple Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur. Objectifs Au cours de ces travaux pratiques, vous allez passer en revue les journaux documentant une faille afin de déterminer les hôtes et le fichier compromis. Partie 1: Consulter les alertes dans Sguil. Partie 2: Passer à Wireshark. Partie 3: Passer à Kibana Contexte/scénario Le quintuplé est utilisé par les administrateurs IT afin d’identifier les conditions requises pour créer un environnement…

27.2.12 – Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur. Objectifs Au cours de ces travaux pratiques, vous allez consulter les journaux collectés lors de l’exploitation de vulnérabilités HTTP et DNS documentées. Partie 1: Enquêter sur une attaque par injection de code SQL Partie 2: Enquêter l’exfiltration des données DNS Contexte/scénario MySQL est une base de données populaire utilisée par de nombreuses applications web Malheureusement, l’injection de code SQL est…

27.2.10 – Travaux pratiques – Extraire un fichier exécutable d’une capture PCAP Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur. Objectifs Partie 1: Analyser les journaux précapturés et les captures de trafic Partie 2: Extraire des fichiers téléchargés à partir de captures de paquets Contexte/scénario S’il est essentiel de consulter les fichiers journaux, il l’est également de comprendre comment sont effectuées les transactions réseau au niveau des paquets. Au cours de ces travaux pratiques, vous allez analyser le trafic dans un fichier pcap…

27.2.9 – Travaux pratiques – Tutoriel sur les expressions régulières Objectifs Au cours de ces travaux pratiques, vous apprendrez comment utiliser des expressions régulières pour rechercher des chaînes d’information spécifiques. Partie 1: Suivez le tutoriel regexone.com. Partie 2: Décrivez le modèle d’expression régulière fourni. Partie 3: Vérifiez vos réponses. Contexte/scénario Une expression régulière (regex) est une combinaison de symboles décrivant les données à mettre en correspondance dans une requête ou d’autres opérations. Les expressions régulières sont construites de la même façon que des expressions arithmétiques. Elles utilisent divers opérateurs pour combiner des expressions de plus petite taille. Il existe deux…

27.1.5 – Travaux pratiques – Convertir les données dans un format universel Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur. Objectifs Partie 1 : Normalisation des horodatages dans un fichier journal Partie 2 : Normalisation des horodatages dans un fichier journal Apache Partie 3: Préparation du fichier journal dans la machine virtuelle Security Onion Contexte/scénario Ce TP vous permet de découvrir comment localiser, manipuler et afficher les fichiers journaux. Les entrées du journal sont générées par des appareils réseau, des systèmes d’exploitation, des…

26.1.7 – Travaux pratiques – Règles de Snort et de pare-feu Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur. Topologie Objectifs Partie 1 : préparer l’environnement virtuel Partie 2 : pare-feu et journaux IDS Partie 3 : arrêter et supprimer le processus Mininet Contexte/scénario Dans un réseau de production sécurisé, les alertes réseau sont générées par divers types d’appareils tels que des appliances de sécurité, des pare-feu, des systèmes de protection contre les intrusions, des routeurs, des commutateurs, des serveurs et autres. Le…

25.3.11 – Packet Tracer – Consigner des informations issues de plusieurs sources Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur. Objectifs Partie 1 : Utiliser syslog pour capturer des fichiers journaux de plusieurs appareils réseau Partie 2 : Consulter les données d’accès utilisateur AAA Partie 3 : Consulter les données NetFlow Contexte/scénario Au cours de cet exercice, vous allez utiliser Packet Tracer pour afficher les données de réseau générées par syslog, AAA et NetFlow. Instructions Partie 1 : Afficher les entrées de journal…