A l'issue de cette formation, vous serez capable de :

• Déployer et maintenir différents outils de prévention et de détection d'intrusion
• Paramétrer et fine-tuner des systèmes de détection et d'alerte
• Organiser et centraliser les alertes pour un SIEM
• Identifier les raisons de déclenchement d'une règle ou d'un faux positif.

Jour 1 - Matin

Introduction aux IPS et IDS

• Les principaux dispositifs de sécurité dans le système d'information
• Le rôle des IPS et des IDS
• Le positionnement des IPS et des IDS
• Les différents types d'IPS et d'IDS
• Les différentes technologies clés
• Signature
• Comportementale
• Heuristique...
• Les produits communautaires et commerciaux

Jour 1 - Après-midi

Composants et architecture

• Les composants clés
• Capteurs
• Gestionnaires
• Consoles
• Bases de données...
• Le déploiement dans l'architecture réseau et placement stratégique des capteurs
• Les interactions avec d'autres systèmes de sécurité
• Firewalls
• Systèmes de gestion des logs
• SIEM...
• Les IPS et IDS dans le Cloud

Types de détections

• La détection basée sur :
• Les signatures
• L'anomalie
• L'état
• Les avantages et limites de chaque méthode

Exemples de travaux pratiques (à titre indicatif)

• Installation et découverte des paramètres d'un H-IPS
• Installation et découverte des paramètres d'un N-IDS

Jour 2 - Matin

Configuration, gestion et analyse des alertes

• Les paramètres de base d'un IPS et d'un IDS
• Les principales règles d'un IPS
• Les principales règles d'un IDS
• Les règles par défaut
• Le paramétrage avancé
• Les règles compilées
• Les préprocesseurs
• Les dissecteurs et analyseurs
• La personnalisation des règles
• Le format des règles
• L'historisation des alertes
• L'analyse des alertes 
• Tri
• Hiérarchisation
• Réponse
• L'intégration avec les systèmes de ticketing et les procédures de réponse aux incidents

Jour 2 - Après-midi

Exemples de travaux pratiques (à titre indicatif)

• Création de règles de surveillance pour le système d'exploitation
• Création de règles de surveillance pour les protocoles d'infrastructure
• Création de règles de surveillance pour un serveur applicatif
• Création d'une politique d'historisation et de remontée des alertes
• Déploiement d'une solution IDS pour les domaines Microsoft
• Création d'une politique d'audit et historisation des événements d'importance

Maintenance et mise à jour

• Processus de mise à jour des signatures et des algorithmes
• Surveillance de la performance et du bon fonctionnement
• Techniques de troubleshooting

Exemple de travaux pratiques (à titre indicatif)

• Création d'une "update policy" et d'une "patch management policy" pour les IPS et IDS déployés

Jour 3 - Matin

Techniques avancées de détection

• Les principales techniques d'évasion
• La détection de l'évasion et les techniques anti-évasion
• L'intégration de l'Intelligence Artificielle (IA) et de l'apprentissage automatique
• L'analyse comportementale approfondie
• Le EndPoint Protection

Exemples de travaux pratiques (à titre indicatif)

• Création de paquets avec signature d'attaque et évasion d'un IDS
• Création d'un pont MITM pour SSL/TLS
• Modification de la politique de surveillance des IPS et des IDS pour échapper aux "protocols violations"
• Installation et paramétrage d'une solution EDR / XDR

Jour 3 - Après-midi

Personnalisation et optimisation

• Développement de signatures personnalisées
• Optimisation des règles pour réduire les faux positifs
• Adaptation des systèmes IDS / IPS à des environnements spécifiques
• Gouvernement
• Finance...

Exemples de travaux pratiques (à titre indicatif)

• Création de règles spécifiques pour bloquer les paquets d'évasion du module précédent
• Création d'une politique de sécurité pour un environnement virtuel ou conteneurisé
• Création d'une règle pour bloquer un malware créé par le formateur