A l'issue de cette formation, vous serez capable de :

• Accomplir les opérations SOC suivantes : reporting, tri des alertes et premières actions de réponse
• Expliquer l'organisation d'un SOC et les missions d'un first responder
• Utiliser un SIEM pour collecter et prioriser les alertes de sécurité
• Analyser des logs afin d'identifier et qualifier un incident de sécurité
• Mettre en place des actions de containment de premier niveau (isolation d'hôtes, blocage d'IP)
• Rédiger un ticket d'incident complet et coordonner le transfert vers les équipes N2 / N3
• Participer à un exercice opérationnel de détection, containment et reporting d'un incident.

Jour 1 - Matin

Introduction au SOC et au rôle de first responder

• Périmètre, responsabilités, niveau d'escalade

Architecture et composants clés

• Collecte de logs (SIEM), alerting, tableaux de bord

Exemple de travaux pratiques (à titre indicatif)

• Prise en main de la console SIEM et tri des premières alertes

Jour 1 - Après-midi

Investigation initiale

• Analyse de logs pour identifier la nature et la portée d'un incident

Reporting opérationnel

• Rédaction d'un ticket d'incident structuré (qui, quoi, où, quand, comment)

Exemple de travaux pratiques (à titre indicatif)

• Gestion d'un incident simulé et passage de relais à l'équipe d'investigation

Jour 2 - Matin

Containment et remédiation de premier niveau

• Isolement d'hôtes, blocage d'adresses IP

Utilisation d'outils de réponse rapide

• Scripts PowerShell / Linux, playbooks automatisés

Exemple de travaux pratiques (à titre indicatif)

• Exécution d'un playbook pour stopper une attaque en cours

Jour 2 - Après-midi

Communication et coordination avec les équipes N2 / N3

• Transfert d'informations clés et suivi

Retour d'expérience et post-mortem

• Elaboration d'un mini-rapport et recommandations de durcissement

Exemple de travaux pratiques (à titre indicatif)

• Exercice SOC : détection, tri, containment et reporting d'un incident de bout en bout