Parcours spécialisé

SPE-SIEM-3

Déploiement et exploitation d’un SIEM – le cas Prelude

Cette session traite du déploiement et de l’utilisation des SIEMs au travers de l’installation, de la configuration et de l’exploitation du SIEM Prelude. Le stagiaire procédera à l’ensemble des phases de la mise en place du SIEM à partir d’un environnement initialement vierge qui lui permettra de superviser un réseau complet virtuel, étape par étape (serveurs, routeurs, commutateurs, pare-feux, IDS, etc.). Un focus particulier sera mis sur l’utilisation du standard IDMEF (RFC 4765) de l’IETF.

 

Objectifs

Déploiement, configuration et exploitation du SIEM Prelude.

Public visé

Administrateurs système et réseau
Exploitants SIEM et SOC
Intégrateurs SIEM
RSSI

Prérequis

Connaissances système Linux/Windows
Connaissances réseau (TCP/IP, modèle OSI) et sécurité

Ressources

Support de cours
90% de mise en situation
1 PC bi-écrans par personne

Informations générales
  • DURÉE 3 JOURS
  • PRIX 2 900 €
  • LIEU PARIS
  • Repas du midi offert

 

Jour 1 : Introduction

  • Introduction
    • Présentation générale des concepts de supervision de sécurité
    • Quelques définitions
    • Présentation de Prelude SIEM
    • Déployer un SIEM
    • Déroulement d’un projet SIEM : Plan, Build/Deploy, Run
    • Les pièges à éviter
  • Les standards de la cybersécurité
    • Le standard IDMEF (RFC 4765)
    • Le standard IODEF (RFC 5070)
    • Les autres formats et standards (CEF, LEEF, STIX, TAXII, Cybox, etc)
  • Présentation du SIEM Prelude
    • La philosophie Prelude
    • Le traitement des événements et des alertes
    • Gestion et stockage des journaux
    • Les modules techniques Prelude : Parsing, Correlator, Manager, Prewikka, etc.
    • Les fonctions : Détection / Corrélation / Agrégation / Notification
    • Les modules fonctionnels : ALERTE, ARCHIVE, ANALYSE & ADMIN
    • La documentation Prelude
  • Lab : Prise en main de Prelude

Jour 2 : Déployer un SIEM

  • La phase de Plan d’un projet SIEM
    • Les pré-requis
    • Les étapes de la phase de plan
    • Réaliser une analyse de risque
    • Définir la stratégie de surveillance
    • Les architectures Prelude
    • Définir les processus d’exploitation
    • Construire un planning de déploiement SIEM
    • Lab : Analyse d’un parc existant
    • Lab : Construire une stratégie de surveillance
    • Lab : Définir une architecture

Jour 2 : Déployer un SIEM – suite

  • La phase de Build/Deploy d’un projet SIEM
    • Les pré-requis
    • Les étapes de la phase de Build/Deploy
    • Installation de Prelude
    • Connexion des sources de logs
    • Le cas Windows
    • Connexion des sondes natives IDMEF
    • Les règles de détection
    • Les règles de corrélation
    • Initialisation de l’IHM
    • Validation du déploiement
    • Lab : Construire son inventaire
    • Lab : Installer une VA Prelude
    • Lab : Connexion des sources de logs
    • Lab : Connexion d’un PC Windows
    • Lab : Connexion d’une sonde Suricata
    • Lab : Créer une règle de détection
    • Lab : Créer une règle de corrélation
    • Lab : Initialisation de l’IHM
  • La phase de Run d’un projet SIEM
    • Pré-requis
    • La gestion des incidents
    • Les taches du niveau 1
    • Les taches du niveau 2
    • Les taches du niveau 3
    • Les taches de l’administrateur Prelude
    • Les taches de l’administrateur Système
    • Lab : Niveau 1
    • Lab : Niveau 2
    • Lab : Niveau 3
    • Lab : Administrateur Prelude
    • Lab : Administrateur Système
  • Conclusion
    • Réussir son déploiement SIEM
    • L’avenir de la supervision de sécurité
    • La convergence sécurité / performance

Jour 3 : Exploiter un SIEM / Mise en situation

Au sein d’un environnement isolé et simulé représentant une architecture réseau d’entreprise classique, vous serez confrontés à des scenarii d’attaque réalistes et représentatifs de ce que l’on retrouve sur le terrain.


Se pré-inscrire