Formation en Cybersécurité: Cybersécurité - Incident Response - Linux - Ascent Formation
Retour aux formations
Cybersécurité

Cybersécurité - Incident Response - Linux

5 jour(s)35h

Description

Développer les compétences opérationnelles nécessaires pour détecter, investiguer, contenir et remédier à des incidents de sécurité sur systèmes Linux, y compris dans des environnements cloud et conteneurisés, en s'appuyant sur les techniques modernes de threat hunting, de forensic disque et mémoire, et de réponse à incident à l'échelle de l'entreprise.

Objectifs pédagogiques

  • Mobiliser les référentiels de réponse à incident adaptés aux environnements Linux : cycle PICERL / SANS et recommandations du NIST SP 800-61 Rev. 3 articulées au CSF 2.0
  • Cartographier les techniques d'attaque observées avec le framework MITRE ATT&CK for Linux
  • Acquérir et analyser des images disque, des artefacts système et des dumps mémoire Linux
  • Conduire un threat hunting à l'échelle d'un parc avec Velociraptor et formaliser des détections (règles Sigma, signatures YARA)
  • Identifier les mécanismes de compromission, de persistance, de mouvement latéral et d'exfiltration sous Linux
  • Investiguer des incidents en environnements conteneurisés (Docker, Kubernetes) et étendre l'analyse à des environnements Linux virtualisés
  • Identifier les techniques d'anti-forensics susceptibles d'altérer les traces et adapter la stratégie d'investigation
  • Rédiger des rapports d'incident techniques et exécutifs exploitables

Public concerné

Analystes SOC et CSIRT/CERT
Investigateurs numériques et consultants DFIR
Administrateurs Linux, SRE et ingénieurs cloud impliqués dans la réponse à incident
Responsables sécurité opérationnelle souhaitant monter en compétences sur les environnements Linux

Prérequis

Bonne maîtrise de l'administration Linux (shell, services, logs, systèmes de fichiers)
Connaissances fondamentales en cybersécurité (TCP/IP, attaques courantes, modèles d'authentification)
Une expérience préalable en réponse à incident ou en analyse forensic est recommandée

Déroulé du programme

1

Jour 1 - Fondamentaux IR Linux et préparation (7 heures)

7h
  • Méthodologies de réponse à incident : cycle PICERL / SANS, articulation avec les recommandations du NIST SP 800-61 Rev. 3 et le CSF 2.0
  • Panorama des menaces ciblant Linux : APT, ransomware visant Linux et hyperviseurs, cryptojacking, supply chain
  • Cadre MITRE ATT&CK for Linux : tactiques, techniques et sous-techniques
  • Architecture Linux pour le DFIR : kernel, processus, namespaces, cgroups, capabilities, SELinux/AppArmor
  • Acquisition de preuves : dd, dc3dd, ewfacquire, formats RAW/E01/AFF4, hachage et chaîne de custody
  • Présentation de l'outillage de référence : SIFT Workstation, REMnux, The Sleuth Kit, Autopsy
  • TP : Installation et prise en main de SIFT Workstation, acquisition d'une image disque d'un système Linux compromis et vérification d'intégrité
2

Jour 2 - Analyse disque, logs et artefacts système (7 heures)

7h
  • Systèmes de fichiers Linux : ext4, XFS, Btrfs (inodes, journaux internes, timestamps MACB, fichiers supprimés)
  • The Sleuth Kit et Autopsy : fls, mmls, icat, body file, carving
  • Logs système : syslog/rsyslog, journalctl, logs applicatifs (Apache/Nginx, SSH, sudo, cron)
  • Auditd : configuration, règles, parsing avec ausearch/aureport
  • Profilage device : séquence de boot, modules kernel, services systemd, utilisateurs, comptes et groupes
  • Artefacts utilisateur : historique shell (.bash_history, .zsh_history), SSH known_hosts, fichiers temporaires
  • TP : Analyse forensic d'un système compromis (logs SSH, Auditd, historique shell) et reconstruction d'une chronologie d'événements
3

Jour 3 - Memory forensics, live response et threat hunting distribué (7 heures)

7h
  • Acquisition mémoire Linux : LiME, AVML, /proc/kcore, contraintes liées aux versions de noyau et aux symboles nécessaires à l'analyse
  • Volatility 3 et tables de symboles Linux : contraintes de compatibilité kernel, génération ou récupération des symboles (ISF), analyse des processus, modules et sockets
  • Détection de rootkits LKM, de processus cachés et d'injections de code en mémoire
  • Live response : collecte d'artefacts volatiles (ps, lsof, netstat/ss, /proc), capture sans extinction
  • Threat hunting à l'échelle avec Velociraptor : architecture client/serveur, déploiement, VQL (Velociraptor Query Language), Artifact Exchange
  • TP : Capture mémoire d'un système Linux compromis et analyse avec Volatility 3, déploiement Velociraptor sur un parc de test et hunt distribué
4

Jour 4 - Compromission, persistance, mouvement latéral et exfiltration (7 heures)

7h
  • Vecteurs d'accès initial : exploitation d'applications web, SSH brute force, vulnérabilités services exposés, supply chain, phishing
  • Mécanismes de persistance Linux : cron, systemd timers et services, LD_PRELOAD, .bashrc/.profile, rc.local, init scripts, LKM rootkits, eBPF malveillant
  • GTFOBins et LOLBins Linux : exploitation de binaires légitimes pour évasion et élévation
  • Construction de timelines et super-timelines : Plaso/Log2timeline, fusion d'artefacts hétérogènes
  • Mouvement latéral sous Linux : clés SSH, agents SSH, Ansible, kubectl, tokens cloud (AWS/GCP/Azure)
  • Détection de C2 et beaconing : analyse de flux réseau (Zeek, Suricata), DNS tunneling, canaux dissimulés
  • Exfiltration : rclone, curl, transferts vers cloud public, stéganographie, archives chiffrées
  • Formalisation de détections : élaboration de règles Sigma sur logs Linux et de signatures YARA sur artefacts
  • TP : Investigation complète d'un système compromis de l'accès initial à l'exfiltration, création d'une super-timeline et cartographie MITRE ATT&CK des techniques observées, écriture d'une règle Sigma de détection et, selon le scénario, d'une signature YARA sur artefact identifié
5

Jour 5 - Environnements cloud-native, virtualisation, anti-forensics, remédiation et reporting (7 heures)

7h
  • Forensic en environnement conteneurisé : artefacts Docker et containerd, analyse d'images et de layers, logs runtime
  • Forensic Kubernetes : audit logs du control plane, etcd, kubelet, ressources éphémères et persistantes
  • Détection runtime cloud-native : Falco et Tetragon, apports de l'observabilité noyau et de l'eBPF pour la réponse à incident
  • Spécificités des incidents touchant des environnements Linux virtualisés et des hyperviseurs exposés : enseignements tirés des campagnes ransomware visant ESXi (Akira, ESXiArgs, réutilisation du code Babuk dans les lockers ESXi)
  • Anti-forensics : timestomping, suppression sécurisée, log wiping, fileless attacks, évasion d'Auditd
  • Remédiation à l'échelle d'un parc Linux : isolation, suppression de persistance, durcissement (CIS Benchmarks), patch management, IOC sweep avec Velociraptor
  • Rédaction de rapport DFIR : structure exécutive vs technique, IOC, mapping ATT&CK, recommandations de remédiation et de hardening
  • TP capstone : analyse complète d'un incident multi-systèmes (serveur Linux + composant conteneurisé + scénario d'extension à un environnement virtualisé), rédaction d'un rapport de réponse à incident

Informations

Durée

5 jour(s)

35h

Tarif

3450 € HT

HT

Formations similaires

Formation en Cybersécurité: Analyse de Malware - Fondamentaux - Ascent Formation
Cybersécurité

Analyse de Malware - Fondamentaux

3 jour(s)

2180 € HT

Formation en Cybersécurité: Analyse de Malware - Techniques avancées - Ascent Formation
Cybersécurité

Analyse de Malware - Techniques avancées

5 jour(s)

3490 € HT

Formation en Cybersécurité: Analyse inforensique réseau - Ascent Formation
Cybersécurité

Analyse inforensique réseau

5 jour(s)

3490 € HT

Formation en Cybersécurité: Architecture de sécurité SELinux (3-014) - Ascent Formation
Cybersécurité

Architecture de sécurité SELinux (3-014)

3 jour(s)

2200 € HT