Parcours spécialisé

SPE-SIEM-3

Déploiement et exploitation d’un SIEM – le cas Prelude

Cette session traite du déploiement et de l’utilisation des SIEMs au travers de l’installation, de la configuration et de l’exploitation du SIEM Prelude. Le stagiaire procédera à l’ensemble des phases de la mise en place du SIEM à partir d’un environnement initialement vierge qui lui permettra de superviser un réseau complet virtuel, étape par étape (serveurs, routeurs, commutateurs, pare-feux, IDS, etc.). Un focus particulier sera mis sur l’utilisation du standard IDMEF (RFC 4765) de l’IETF.

Se pré-inscrire

 

Objectifs

Déploiement, configuration et exploitation du SIEM Prelude.

Public visé

Administrateurs système et réseau
Exploitants SIEM et SOC
Intégrateurs SIEM
RSSI
Prérequis

Connaissances système Linux/Windows
Connaissances réseau (TCP/IP, modèle OSI) et sécurité

Ressources

Support de cours
90% de mise en situation
1 PC bi-écrans par personne
Informations générales
  • DURÉE 3 JOURS
  • PRIX 2 900 €
  • LIEU PARIS
  • Repas du midi offert

 

Jour 1 : Introduction

  • Introduction
    • Présentation générale des concepts de supervision de sécurité
    • Quelques définitions
    • Présentation de Prelude SIEM
    • Déployer un SIEM
    • Déroulement d’un projet SIEM : Plan, Build/Deploy, Run
    • Les pièges à éviter
  • Les standards de la cybersécurité
    • Le standard IDMEF (RFC 4765)
    • Le standard IODEF (RFC 5070)
    • Les autres formats et standards (CEF, LEEF, STIX, TAXII, Cybox, etc)
  • Présentation du SIEM Prelude
    • La philosophie Prelude
    • Le traitement des événements et des alertes
    • Gestion et stockage des journaux
    • Les modules techniques Prelude : Parsing, Correlator, Manager, Prewikka, etc.
    • Les fonctions : Détection / Corrélation / Agrégation / Notification
    • Les modules fonctionnels : ALERTE, ARCHIVE, ANALYSE & ADMIN
    • La documentation Prelude
  • Lab : Prise en main de Prelude

Jour 2 : Déployer un SIEM

  • La phase de Plan d’un projet SIEM
    • Les pré-requis
    • Les étapes de la phase de plan
    • Réaliser une analyse de risque
    • Définir la stratégie de surveillance
    • Les architectures Prelude
    • Définir les processus d’exploitation
    • Construire un planning de déploiement SIEM
    • Lab : Analyse d’un parc existant
    • Lab : Construire une stratégie de surveillance
    • Lab : Définir une architecture

Jour 2 : Déployer un SIEM – suite

  • La phase de Build/Deploy d’un projet SIEM
    • Les pré-requis
    • Les étapes de la phase de Build/Deploy
    • Installation de Prelude
    • Connexion des sources de logs
    • Le cas Windows
    • Connexion des sondes natives IDMEF
    • Les règles de détection
    • Les règles de corrélation
    • Initialisation de l’IHM
    • Validation du déploiement
    • Lab : Construire son inventaire
    • Lab : Installer une VA Prelude
    • Lab : Connexion des sources de logs
    • Lab : Connexion d’un PC Windows
    • Lab : Connexion d’une sonde Suricata
    • Lab : Créer une règle de détection
    • Lab : Créer une règle de corrélation
    • Lab : Initialisation de l’IHM
  • La phase de Run d’un projet SIEM
    • Pré-requis
    • La gestion des incidents
    • Les taches du niveau 1
    • Les taches du niveau 2
    • Les taches du niveau 3
    • Les taches de l’administrateur Prelude
    • Les taches de l’administrateur Système
    • Lab : Niveau 1
    • Lab : Niveau 2
    • Lab : Niveau 3
    • Lab : Administrateur Prelude
    • Lab : Administrateur Système
  • Conclusion
    • Réussir son déploiement SIEM
    • L’avenir de la supervision de sécurité
    • La convergence sécurité / performance

Jour 3 : Exploiter un SIEM / Mise en situation

Au sein d’un environnement isolé et simulé représentant une architecture réseau d’entreprise classique, vous serez confrontés à des scenarii d’attaque réalistes et représentatifs de ce que l’on retrouve sur le terrain.


Se pré-inscrire

Copyright 2016 BLUECYFORCE - MENTIONS LEGALES - CONDITIONS GENERALES DE VENTE