Si une carrière dans la sécurité de l'information vous intéresse, le programme de certification GIAC GCIA sera votre formation la plus importante. Le cours de certification GCIA est considéré comme le plus exigeant, mais aussi le plus gratifiant.
Il n'y a pas de meilleure formation pour apprendre à mener une chasse aux menaces efficace afin de détecter les activités zero-day sur votre réseau avant qu'elles ne soient rendues publiques. Ce cours n'est pas destiné aux personnes souhaitant simplement comprendre les alertes de surveillance réseau générées par un outil standard.
En revanche, la certification GCIA s'adresse à ceux qui souhaitent une analyse approfondie de l'activité de leurs réseaux et qui soupçonnent des problèmes graves non détectés par leurs outils actuels.
La certification GIAC Certified Intrusion Analyst (GCIA) est une certification indépendante des fournisseurs, conçue pour valider les connaissances et les compétences des professionnels en matière de détection et d'analyse des intrusions. La certification GIAC GCIA vous permettra de configurer et de surveiller des systèmes de détection d'intrusion, de lire, d'interpréter et d'analyser le trafic réseau et les fichiers journaux, et de comprendre l'activité du réseau.
Pour obtenir la certification GIAC GCIA, vous devrez réussir un examen surveillé portant sur différents objectifs, tels que l'analyse du trafic réseau, la création de signatures, l'analyse des journaux et la gestion des incidents. L'examen GIAC GCIA comporte 106 questions à choix multiples et dure quatre heures. Le score minimal requis pour réussir l'examen GCIA est de 67 %.
Voici les domaines couverts par l'examen GCIA :
Principes fondamentaux de l'analyse du trafic et des protocoles applicatifs
IDS open source : Snort et Zeek
Analyse et surveillance du trafic réseau
Spécialistes de la détection d'intrusion
Analystes système
Analystes de sécurité
Ingénieurs réseau
Administrateurs réseau
Responsables de la sécurité opérationnels
Analyser le trafic de votre site pour éviter de faire la une des journaux
Identifier les menaces zero-day non détectées par les outils de surveillance réseau
Surveillance réseau : mise en place, personnalisation et optimisation
Prioriser les alertes réseau, notamment lors d'un incident
Identifier les événements (quoi, quand et qui) par reconstitution
Expérience pratique en criminalistique réseau, détection et analyse
Maîtriser les protocoles TCP/IP et les protocoles applicatifs courants pour mieux comprendre votre trafic réseau et distinguer le trafic normal du trafic anormal
Surveillance des réseaux par signature : avantages et inconvénients
Surveillance comportementale des réseaux pour une corrélation automatisée à l'échelle de l'entreprise et son utilisation optimale
Modéliser efficacement les menaces pour les activités réseau
Traduire la modélisation des menaces en capacités de détection des menaces zero-day
Analyser les données de flux dans les réseaux traditionnels, hybrides et cloud pour améliorer la sécurité Détection
Configurer et exécuter Snort et Suricata
Créer et rédiger des règles Snort, Suricata et FirePOWER efficaces
Configurer et exécuter Zeek (logiciel libre) pour fournir un cadre d'analyse de trafic hybride
Créer des scripts de corrélation automatisés de chasse aux menaces dans Zeek
Comprendre les couches de composants TCP/IP pour identifier le trafic normal et anormal en vue de la détection des menaces
Utiliser des outils d'analyse de trafic pour identifier les signes de compromission ou de menace active
Effectuer une analyse forensique du réseau pour examiner le trafic, identifier les TTP (Tactiques, Techniques et Procédures) et détecter les menaces actives
Extraire des fichiers et d'autres types de contenu du trafic réseau pour reconstituer les événements
Créer des filtres BPF (Broadcast-Forwarding Filters) pour examiner sélectivement une caractéristique de trafic particulière à grande échelle
Créer des paquets avec Scapy
Utiliser les outils NetFlow/IPFIX pour détecter les anomalies de comportement du réseau et les menaces potentielles
Utiliser vos connaissances en architecture réseau et en matériel pour personnaliser le placement des capteurs de surveillance réseau et analyser le trafic réseau.
Cette section offre une étude approfondie de la pile de protocoles TCP/IP, vous préparant à mieux surveiller et détecter les menaces dans votre infrastructure cloud ou traditionnelle. La première étape, intitulée « Les paquets comme un second langage », vous plonge immédiatement dans l'analyse de paquets de bas niveau afin de collecter les paquets utilisés dans les attaques zero-day et autres attaques. Tout au long de cette section, vous apprendrez les fondamentaux de la communication TCP/IP, la théorie des bits, des octets, du binaire et de l'hexadécimal, ainsi que la signification et le comportement attendu de chaque champ. Vous apprendrez également à utiliser des outils tels que Wireshark et Tcpdump pour analyser le trafic.
Concepts TCP/IP
Pourquoi est-il nécessaire de comprendre les en-têtes et les données des paquets ? - Modèle de communication TCP/IP
Encapsulation/désencapsulation des données
Bits, octets, binaire et hexadécimal
Introduction à Wireshark
Navigation dans Wireshark
Profils Wireshark
Exploration des options statistiques de Wireshark
Réassemblage de flux
Recherche de contenu dans les paquets
Couche d'accès réseau/Couche liaison : Couche 2
Introduction à la couche liaison
Protocole de résolution d'adressage
Attaques et défenses de la couche 2
Couche IP : Couche 3
IPv4
Étude théorique et pratique des champs
Sommes de contrôle et leur importance, notamment pour la surveillance et l'évasion réseau
Fragmentation : champs d'en-tête IP impliqués dans la fragmentation, composition des fragments, attaques modernes par fragmentation
Traitement en ligne de commande UNIX
Traitement efficace des paquets
Analyse et agrégation des données pour répondre à des questions et étudier un réseau
Utilisation des expressions régulières pour une analyse plus rapide
Cette section Cette section conclut le volet « Les paquets comme langage secondaire » du cours et prépare le terrain pour une discussion beaucoup plus approfondie. Les étudiants acquerront une compréhension approfondie des principaux protocoles de la couche transport utilisés dans le modèle TCP/IP, ainsi que de l'impact des tendances actuelles sur leur utilisation. Dans cette leçon, vous apprendrez à analyser votre propre trafic à l'aide de Wireshark et TCPdump. Grâce aux filtres d'affichage de Wireshark et aux filtres de paquets Berkeley, l'accent est mis sur le filtrage de données à grande échelle afin de se concentrer sur le trafic pertinent et ainsi détecter les menaces dans une infrastructure traditionnelle et dans le cloud. Cette section aborde également les innovations récentes qui ont des implications majeures pour la surveillance des réseaux modernes, notamment la signification et la fonction de chaque champ d'en-tête.
Filtres d'affichage Wireshark
Présentation des nombreuses méthodes utilisées par Wireshark pour créer des filtres d'affichage
Composition des filtres d'affichage
Écriture de filtres BPF
Omniprésence des filtres BPF et utilité des filtres
Format des filtres BPF
Utilisation du masquage de bits
TCP
Présentation théorique et pratique des champs
Analyse des paquets
Sommes de contrôle
Stimuli et réponse TCP normaux et anormaux
Importance du réassemblage TCP pour les systèmes IDS/IPS
UDP
Présentation théorique et pratique des champs
Stimuli et réponse UDP
ICMP
Présentation théorique et pratique des champs
Cas où l'envoi de messages ICMP est déconseillé
Utilisation pour la cartographie et la reconnaissance
ICMP normal
ICMP malveillant
IP6
Principes fondamentaux
Améliorations par rapport à IP6
Protocoles de multidiffusion et leur utilisation par IP6
Menaces liées à IP6
Application concrète : Analyse d'un réseau
Qui sont les Principaux interlocuteurs ?
À quoi les utilisateurs se connectent-ils ?
Quels services sont exécutés sur notre réseau ?
Quel type de trafic est-ouest est présent ?
Cette troisième partie du cours s'appuie sur les deux premières en abordant les protocoles de la couche application. Grâce à ces connaissances, vous apprendrez à identifier les menaces dans le cloud, sur les terminaux, dans les réseaux hybrides et les infrastructures traditionnelles. Vous découvrirez également Scapy, un outil puissant de création de paquets basé sur Python, qui vous permet de manipuler, créer, lire et écrire des paquets. Vous pouvez utiliser Scapy pour créer des paquets afin de tester les capacités de détection d'un outil de surveillance ou d'un pare-feu. Ceci est particulièrement important lorsqu'une vulnérabilité nouvellement annoncée est ajoutée à une règle de surveillance réseau créée par un utilisateur.
Scapy
Création et analyse de paquets avec Scapy
Écriture de paquets sur le réseau ou dans un fichier Pcap
Lecture de paquets depuis le réseau ou un fichier Pcap
Applications pratiques de Scapy pour l'analyse et la sécurité réseau
Wireshark avancé
Exportation d'objets web et autres objets pris en charge
Extraction de contenu applicatif arbitraire
Investigation d'un incident avec Wireshark
Utilisation pratique de Wireshark pour l'analyse de l'activité du protocole SMB
Tshark
Introduction à Snort/Suricata
Configuration des outils et journalisation de base
Création de règles simples
Utilisation des options courantes
Snort/Suricata efficace
Contenu avancé sur la création de règles véritablement efficaces pour les très grands réseaux
Comprendre comment créer des règles flexibles, difficiles à contourner
Approche interactive « Choisissez votre propre aventure » pour tous les exercices pratiques de Snort/Suricata
Examen progressif d'une vulnérabilité évolutive, avec amélioration incrémentale d'une règle pour détecter toutes les formes d'attaque
Application de Snort/Suricata à la couche application Protocoles
DNS
Architecture et fonctionnement du DNS
DNSSEC
Avancées récentes du DNS, telles que EDNS (Extended DNS)
DNS malveillant, y compris l'empoisonnement du cache
Création de règles pour identifier les activités malveillantes liées au DNS
Protocoles Microsoft
SMB/CIFS
Défis de la détection
Application pratique de Wireshark
HTTP moderne
Format du protocole
Pourquoi et comment ce protocole évolue-t-il ?
Défis de la détection
Changements avec HTTP/2 et HTTP/3
Comment étudier un protocole
Utilisation de QUIC comme étude de cas
Comparaison entre GQUIC et IETF QUIC
Application concrète : Identification du trafic d'intérêt
Détection de données applicatives anormales dans de grands référentiels de paquets
Extraction d'enregistrements pertinents
Recherche et analyse d'applications
La section 4 examine en détail les systèmes de détection d'intrusion modernes et futurs, en s'appuyant sur les connaissances acquises dans les trois premières sections. En combinant toutes les connaissances acquises jusqu'à présent, les étudiants peuvent désormais concevoir des systèmes de détection des menaces bien supérieurs à Snort/FirePower/Suricata et aux pare-feu de nouvelle génération grâce à la détection comportementale avancée avec Zeek (ou Corelight).
Architecture réseau
Instrumentation du réseau pour la collecte du trafic
Stratégies de déploiement de la surveillance réseau et de la détection des menaces
Matériel de capture du trafic
Introduction à la surveillance réseau à grande échelle
Fonctionnement des outils de surveillance réseau
Rôle de l'analyste dans la détection
Processus d'analyse
Zeek
Introduction à Zeek
Modes de fonctionnement de Zeek
Journaux de sortie de Zeek et leur utilisation
Analyse et modélisation pratiques des menaces
Scripting Zeek
Utilisation de Zeek pour surveiller et corréler les comportements associés
Théorie des techniques d'évasion des IDS/IPS
Échantillonnage des techniques d'évasion
Techniques d'évasion zero-day
Cette section privilégie les exercices pratiques à l'enseignement théorique. Cette section aborde trois grands domaines, en commençant par l'analyse et la collecte de données à grande échelle via NetFlow et IPFIX. Grâce aux connaissances protocolaires acquises dans la première section du cours, NetFlow peut être utilisé pour la recherche de menaces dans le cloud et sur les infrastructures traditionnelles. Après avoir assimilé les fondamentaux, les étudiants passeront à des analyses et à une détection des menaces plus avancées, en utilisant et en créant des requêtes NetFlow personnalisées. Un deuxième domaine introduit l'analyse du trafic, dans la continuité de l'analyse à grande échelle. Divers outils et techniques de recherche de menaces zero-day sont présentés, puis les étudiants ont l'occasion de les mettre en pratique. Le cours abordera également les applications de pointe de l'intelligence artificielle et de l'apprentissage automatique pour la détection d'anomalies. La dernière partie de cette section porte sur l'analyse forensique des réseaux et la reconstitution d'incidents. Chaque étudiant travaillera sur trois incidents pratiques détaillés en utilisant les outils et techniques appris tout au long du cours.
Utilisation des enregistrements de flux réseau
Analyse des métadonnées NetFlow et IPFIX
Utilisation de SiLK pour identifier les événements pertinents
Identification des déplacements latéraux via les données NetFlow
Création de requêtes NetFlow personnalisées
Chasse aux menaces et visualisation
Différentes approches pour la chasse aux menaces réseau à l'échelle de l'entreprise
Exercices de visualisation des comportements réseau pour identifier les anomalies
Applications de la science des données pour optimiser les opérations de sécurité et la chasse aux menaces
Expérimentation d'un système d'IA pour identifier les anomalies de protocole réseau sur un réseau protégé
Introduction à l'analyse forensique réseau
Théorie de l'analyse forensique réseau
Phases d'exploitation
Analyse basée sur les données versus analyse basée sur les alertes
Visualisation basée sur les hypothèses
Ce cours se conclut par un projet de fin d'études pratique sur serveur, à la fois stimulant et enrichissant, portant sur la surveillance réseau et la détection des menaces. Les étudiants, individuellement ou en équipe, doivent répondre à diverses questions en utilisant les outils et les théories appris. S'appuyant sur six séries de données réelles, ce défi consiste à enquêter sur un incident urgent. Lors de cette immersion, les étudiants répondent à des questions basées sur l'analyse de données effectuée par une équipe d'analystes professionnels.
La certification GIAC Intrusion Analyst atteste des compétences des professionnels en matière de surveillance des réseaux et des hôtes, d'analyse du trafic et de détection d'intrusion. La certification GIAC GCIA permet de configurer et de surveiller des systèmes de détection d'intrusion, ainsi que de lire, d'interpréter et d'analyser le trafic réseau et les fichiers journaux.
La certification GCIA est désormais disponible. Vous recherchez un centre d'examen par procuration ? Vous êtes au bon endroit ! L'équipe CBT Proxy est là pour vous aider à réussir votre examen dès la première tentative. Cliquez sur le bouton de chat ci-dessous pour discuter de l'examen avec l'un de nos consultants.
Copyright © 2024 - Tous droits réservés.
