Cybersécurité - Enterprise Threat Hunting

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

35 heures (5 jours)

Cybersécurité - Enterprise Threat Hunting


Objectif de formation : Cette formation met l'accent sur les techniques de threat hunting à l'échelle entreprise. Elle enseigne comment collecter, corrèler et enrichir des données massives pour traquer les attaquants dans des environnements hybrides et décentralisés (cloud, endpoint, containers).

Objectifs de la formation

  • Apprendre à collecter, corréler et enrichir des données massives pour traquer les menaces dans des environnements hybrides (cloud, endpoint, containers).
  • Maîtriser les techniques de threat hunting multi-systèmes (Windows, Linux, macOS, cloud).
  • Déployer une infrastructure collaborative de chasse aux menaces.
  • Développer des signatures et IOC à partir d’analyses comportementales.
  • Exploiter les outils cloud-natifs pour la détection d’activités malveillantes dans Azure, M365, AWS.
  • Structurer la documentation d’incidents et capitaliser les connaissances pour une réutilisation future.

Profil des bénéficiaires

Pour qui
  • Analystes SOC (niveau 2/3)
  • Threat hunters
  • Ingénieurs sécurité
Prérequis
  • Une bonne compréhension des systèmes d’exploitation (Windows, Linux, macOS)
  • Des bases solides en sécurité des systèmes d’information
  • Une expérience préalable avec les logs, les SIEM ou les outils de collecte forensique
  • Une familiarité avec les environnements cloud (Azure, AWS, M365)
  • Des notions de langages de requêtage ou de scripting (KQL, YARA, Sigma, etc.)

Contenu de la formation

Collecte de données forensiques à grande échelle (6 heures)
  • Comprendre les besoins spécifiques de collecte dans les environnements massifs (léger vs approfondi)
  • Collecter des données à partir de systèmes Windows, Linux, macOS et des environnements cloud
  • Intégrer des agents de collecte à distance (ex. Velociraptor, Osquery, Wazuh)
  • TP 1 : Déploiement d'un agent forensique sur un parc simulé de machines hétérogènes
  • TP 2 : Extraction automatisée de données clés (journaux, processus, connexions réseau)
  • TP 3 : Constitution d'un set de données pour threat hunting inter-plateforme
Analyse avancée multi-systèmes et multi-sources (7 heures)
  • Corrélation d'événements entre systèmes hétérogènes (Windows, Linux, Mac)
  • Identification des mouvements latéraux et des séquences d'attaque via enrichissement
  • Utilisation d'outils d'analyse multi-formats et structuration des données (Sigma, YARA, STIX)
  • TP 1 : Corrélation d'indicateurs entre logs de conteneurs et systèmes hôtes
  • TP 2 : Analyse enrichie d'un scénario d'intrusion cloud hybride
  • TP 3 : Détection d'un mouvement latéral à partir d'un IOC initial sur un poste client
Déploiement d'une infrastructure de chasse collaborative (5 heures)
  • Outils de collaboration pour la chasse aux menaces à distance (MISP, TheHive, Elastic)
  • Partage sécurisé d'artefacts et création de workflows d'investigation
  • TP 1 : Mise en œuvre d'un playbook collaboratif via TheHive
  • TP 2 : Répartition des rôles et synchronisation des recherches entre analystes
  • TP 3 : Capitalisation dans une base de connaissances IOC pour réutilisation
Threat hunting dans les environnements Azure, M365 et AWS (6 heures)
  • Techniques spécifiques de collecte et d'analyse sur les environnements cloud
  • Détection d'activités malveillantes dans Azure AD, OneDrive, CloudTrail
  • Exploitation des outils cloud-natifs pour investigation et traçabilité
  • TP 1 : Analyse de logs CloudTrail pour détection de compromission de clé IAM
  • TP 2 : Détection d'une compromission M365 via logs d'authentification et accès
  • TP 3 : Création de règles KQL pour hunting dans Microsoft Defender for Endpoint
Développement de signatures et IOC (6 heures)
  • Création d'IOC exploitables à partir d'enrichissements (hash, nom de fichier, mutex, etc.)
  • Développement de règles Sigma et YARA à partir d'une analyse comportementale
  • Utilisation de scripts pour automatiser la détection récurrente
  • TP 1 : Génération d'IOC à partir d'un dump mémoire analysé
  • TP 2 : Rédaction de règles Sigma et YARA pour enrichir une base de hunting
  • TP 3 : Intégration d'IOC dans une SIEM open-source (ex. Wazuh, Elastic)
Capitalisation, documentation et traçabilité (5 heures)
  • Structuration d'une documentation d'incident complète et partageable
  • Création d'un référentiel de cas types et de chaînes d'attaque connues
  • Suivi des incidents et gestion du cycle de vie des IOC collectés
  • TP 1 : Rédaction d'un rapport d'incident enrichi (technique + stratégique)
  • TP 2 : Structuration d'une base de connaissances inter-incidents
  • TP 3 : Analyse de couverture de détection par rapport au MITRE ATT&CK

Capacité d'accueil

Un seul apprenant