Dans ce cours sur le monitoring de la sécurité, vous apprendrez comment mettre en place une architecture de surveillance et comment détecter les incidents de sécurité. Vous verrez également quels sont les logs d’intérêt et découvrirez l’utilisation de la matrice ATT&CK pour la réalisation de scénarios d'attaque.
Familiarisez-vous avec le plan du cours
Ce cours est divisé en 4 parties qui vous permettront de comprendre un peu plus en détail les concepts de la surveillance du SI.
Voyons ensemble comment est structuré le cours.
Partie 1 — Découvrez les enjeux de la surveillance du SI
Dans cette partie, vous allez voir quels sont les enjeux du monitoring et pourquoi il est important de surveiller les flux et les activités du SI. Je vous expliquerai également l’utilisation et le fonctionnement des SIEM, qui permettent la détection des incidents de sécurité.
Partie 2 — Identifiez les sources de données et optimisez la collecte de logs
Avant de mettre en place un système de monitoring, il est important d’identifier les sources de données d’importance, et de savoir comment effectuer une analyse manuelle. Vous découvrirez les outils pour parser et analyser des logs. Puis, vous verrez comment collecter des logs sous un système Windows ou Linux, et enfin nous aborderons la collecte de logs réseaux.
Partie 3 — Centralisez vos alertes avec la stack ELK
Maintenant que vous êtes capable de collecter les logs sur différents systèmes, dans cette partie vous les centraliserez et créerez des dashboards avec la suite ELK. Enfin, vous mettrez en place les fonctionnalités de SIEM pour la détection d'évènements suspects.
Partie 4 — Identifiez les scénarios d'attaque grâce à la matrice ATT&CK
Votre architecture de détection est à présent configurée et opérationnelle ! Dans cette partie vous découvrirez la matrice ATT&CK, et comment l’utiliser pour mettre en place des scénarios de corrélation.
Passez rapidement à la pratique
Rentrons à présent dans le vif du sujet !
Tout au long de ce cours, vous allez découvrir comment mettre en place une architecture de surveillance. Pour planter le décor et suivre un fil directeur, vous allez vous mettre dans la peau d’un architecte Sécurité.
La société NeedSec fait appel à vous pour mettre en place un système de monitoring. Actuellement, il n’y a aucun système de sécurité, et elle souhaite renforcer sa sécurité et avoir une vue globale du système d’information, afin d’identifier de potentielles compromissions. Pour tester votre architecture, vous mettrez en place des scénarios de corrélation qui démontreront la remontée d’information dans votre système de monitoring.
Je vais vous guider tout au long du cours pour que vous appreniez à faire toutes ces démarches par vous-même. 😀
En résumé
Ce cours vous présente comment mettre en place une architecture de monitoring. Il est divisé en 4 parties comprenant les étapes essentielles pour identifier les logs d’intérêt et l’identification d’évènements suspects :
une première découverte des enjeux de la surveillance des SI ;
l’identification des sources de données d’importance, et comment faire une analyse manuelle ;
la centralisation des logs identifiés avec ELK ;
la définition des scénarios d'attaque avec la matrice ATT&CK avant de les utiliser pour tester votre monitoring.
Dès que vous êtes prêt, passez au prochain chapitre pour entrer dans le vif du sujet !