SIEM - Exploitation avancée des journaux de sécurité et détection des menaces
Formation créée le 24/07/2025.
Version du programme : 1
Version du programme : 1
Type de formation
Formation présentielleDurée de formation
35 heures (5 jours)SIEM - Exploitation avancée des journaux de sécurité et détection des menaces
Objectif de formation : Apprendre à concevoir, exploiter et optimiser une solution SIEM pour détecter les menaces, corréler les événements à grande échelle, construire des tableaux de bord utiles, créer des alertes pertinentes et identifier les comportements anormaux sur les réseaux, systèmes et environnements cloud.
Objectifs de la formation
- Concevoir une architecture SIEM cohérente et scalable
- Choisir, collecter et normaliser les bons journaux
- Transformer des logs bruts en informations exploitables
- Définir des règles d’alerte pertinentes et des dashboards efficaces
- Détecter des anomalies à partir de baselines comportementales
- Intégrer des journaux cloud, conteneurs, et automatiser certaines tâches
- Évaluer l’efficacité des contrôles de sécurité à travers les logs
Profil des bénéficiaires
Pour qui
- Analystes SOC, ingénieurs sécurité, administrateurs SI
- Consultants cybersécurité, auditeurs techniques
- Responsables de la supervision ou de la détection
Prérequis
- Bonnes connaissances des systèmes (Windows, Linux), réseaux, et sécurité
- Aisance avec les formats de logs et le traitement de données structurées
- Notions de scripting ou de manipulation de données appréciées
Contenu de la formation
Introduction aux SIEM et à l’architecture de journalisation (3 heures)
- Rôle et place du SIEM dans l’écosystème de sécurité
- Architecture d’un SIEM : collecte, agrégation, normalisation, corrélation, visualisation
- Présentation de solutions SIEM populaires (Splunk, ELK, Sentinel, QRadar…)
- Bonnes pratiques de conception d’une architecture de logs
- Travaux pratiques : Déploiement simplifié d’un SIEM open source (ex : ELK) ou démonstration guidée
- Travaux pratiques : Identification des composants SIEM à partir d’un schéma de flux
- Travaux pratiques : Analyse de logs bruts avant ingestion dans le SIEM
Collecte de journaux : quoi, quand, comment ? (5 heures)
- Quelles sources collecter ? (Windows, Linux, pare-feu, EDR, cloud, AD, DNS…)
- Méthodes de collecte : agents, syslog, API, agentless
- Format des logs : JSON, Syslog, CSV, CEF, LEEF
- Stratégies de priorisation et de scalabilité pour la collecte massive
- Travaux pratiques : Configuration de collecte de logs système et réseau sur VM simulée
- Travaux pratiques : ingestion de différents types de journaux dans le SIEM
- Travaux pratiques : Diagnostic d’une architecture de collecte (manque de sources, volume, duplication)
Transformation des logs en données exploitables (5 heures)
- Parsing, normalisation, enrichissement (géolocalisation, WHOIS, CTI)
- Création de champs personnalisés
- Gestion des logs bruités, nettoyage, suppression des faux positifs
- Techniques de manipulation avancée (regex, expressions conditionnelles, eval…)
- Travaux pratiques - Atelier de parsing : transformation de logs bruts en événements normalisés
- Travaux pratiques : enrichissement d’un flux avec IP reputation + géolocalisation
- Travaux pratiques : détection de valeur anormale dans un log HTTP
Détection des menaces et création d’alertes efficaces (6 heures)
- Création d’alertes fondées sur des modèles d’attaque (MITRE ATT&CK)
- Analyse fréquentielle et détection comportementale
- Corrélation multi-sources (ex : login + action + périphérique)
- Réduction du bruit et gestion des faux positifs
- Travaux pratiques : création de règles d’alerte basées sur un scénario de phishing ou C2
- Travaux pratiques : mise en place de seuils dynamiques pour détection d’anomalies (logins multiples)
- Travaux pratiques : Analyse d’un jeu de données pour isoler un comportement suspect
Dashboards et visualisation tactique pour analystes (4 heures)
- Règles de conception d’un dashboard utile : lisibilité, tri, actions
- Tableaux, graphes, heatmaps, vues chronologiques
- Cas d’usage : activité utilisateur, détection de lateral movement, attaque AD
- Travaux pratiques : Création d’un dashboard analyste (SIEM ou Kibana) sur 3 indicateurs
- Travaux pratiques : Mise en place de graphiques temporels pour détecter des pics d’activité anormaux
- Travaux pratiques : transformation de données JSON en vues synthétiques
Création de baselines et détection d’anomalies (5 heures)
- Définir des comportements "normaux" (utilisateurs, appareils, processus)
- Baselines réseau (trafic, horaires), Windows (services, connexions, logs)
- Détection de dérives et de changements suspects
- Surveillance des systèmes cloud et des conteneurs
- Travaux pratiques : Définition d’une baseline de connexions sur un hôte fictif
- Travaux pratiques : Identification d’un processus nouveau dans des logs système
- Travaux pratiques : Détection d’un changement non autorisé dans un environnement cloud simulé
Intégration et automatisation (scripts, cloud, conteneurs) (4 heures)
- Journalisation et supervision des conteneurs (Docker, Kubernetes)
- Intégration cloud (Azure Monitor, AWS CloudWatch, GCP Logging)
- Écriture de scripts de collecte ou de traitement (Python, Bash, API REST)
- Introduction au SOAR : enrichissement automatique, réponse automatisée
- Travaux pratiques : Collecte de logs d’un conteneur en local et envoi vers SIEM
- Travaux pratiques - Script Python : extraction d’alertes, enrichissement avec CTI open source
- Travaux pratiques : script de détection automatique d’activité suspecte et génération d’alerte
Évaluation finale et cas d’usage complet (3 heures)
- Travaux pratiques - Projet fil rouge : détection et analyse d’un incident simulé, collecte des données, enrichissement et parsing, création d’alertes et visualisations, rapport de détection et remédiation, présentation orale synthétique avec justification des choix
Équipe pédagogique
Professionnel expert technique et pédagogique.