Dernière mise à jour le 01/04/2023
Investigation numérique Windows
Informations générales
Type de formation : Formation continue
Domaine : Cybersécurité - sécurité informatique
Filière : Investigation, réponses à incidents
Rubrique : Investigation numérique - inforensic
Formation éligible au CPF : Non
Formation Action collective : Non
Objectifs & compétences
Découvrir une investigation numérique sur un ordinateur Windows Avoir les bases de l'analyse du numérique sur un serveur web Acquérir les médias contenant l'information Connaître les informations pertinentes et les analyser Découvrir les logiciels d'investigation numérique Connaître le processus de réponse à un incident
Gérer une investigation numérique sur un ordinateur Windows Avoir les bases de l'analyse du numérique sur un serveur web Acquérir les médias contenant l'information Trier les informations pertinentes et les analyser Utiliser les logiciels d'investigation numérique Maîtriser le processus de réponse à un incident
Maitriser une étude inforensique sous Windows acquisition de preuves, outils et techniques d'acquisition, inforensique des emails, inforensique de la base de registre, accès aux URLs, historique de l'exécution d'applications analyse mémoire, conversation messagerie instantanée, webmail, inforensique des navigateurs internet
Public visé
Administrateur, analyste SOC, ingénieur sécurité
Pré-requis
Connaissances sur l’OS Windows, TCP/IP, Linux
Programme
Programme détaillé
Jour 1 matin
Section 1
Etat de l’art de l’investigation numérique
Objectif du cours Introduction à l’investigation numérique
Lien entre les différentes disciplines Forensics
Méthodologie d’investigation légale (Chaîne de custody, Chaîne des évidences) Présentation du framework ATT & CK du MITRE et points d’entrée des Cyberattaques
Arbres d’attaque Les signes de compromissions (Corrélation ATT&CK) Vocabulaire, taxonomie
Les différents OS Windows
Section 2
Les fondamentaux Windows
Fondamentaux Windows Système de fichiers / Arborescence Séquence de boot Windows Base de registre Logs (evtx, log pilotes, etc.)
Variables d’environnements
Jour 1 après-midi
Services et les différents accès (services.exe, Powershell)
Fondamentaux FAT32
Fondamentaux NTFS
TD 1 / Analyse d’un disque
TP 1 / Analyse d’un disque
TP2 / Questionnaire de connaissance
Section 3
Collecte des données Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)
Collecte des données physiques et virtualisation
Présentation du Lab TD / Collecte de données (En continu)
Jour 2 matin
Section 4
Artefacts
Différents artefacts internet
Pièces jointes Open/Save MRU Flux ADS Zone.Identifier
Téléchargements Historique Skype Navigateurs internet Historique Cache Sessions restaurées Cookies
Différents artefacts
Exécution UserAssist
Timeline Windows 10 RecentApps Shimcache Jumplist Amcache.hve BAM/DAM Last-Visited MRU Prefetch
Différents artefacts fichiers/dossiers Shellbags Fichiers récents Raccourcis (LNK) Documents Office IE/Edge Files
Jour 2 après-midi
Différents artefacts réseau Termes recherchés sur navigateur Cookie Historique SRUM (ressource usage monitor) Log wifi
Différents artefacts comptes utilisateur
Dernières connexions Changement de mot de passe Echec/Réussite d’authentification
Évènement de service (démarrage)
Evènement d’authentification
Type d’authentification
Utilisation du RDP
Différents artefacts USB Nomination des volumes
Evénement PnP (Plug & Play) Numéros de série
Différents artefacts fichiers supprimés tools
Récupération de la corbeille Thumbcache Thumb.db WordWheelQuery Spécificités Active Directory
TP 3 / Première investigation
Jour 3 matin
Section 5
Techniques avancées VSS Carving Anti-forensic et Timestomping
TP 4 / Deuxième investigation
Jour 3 après-midi
Section 6
Introduction à volatility Données volatiles Analyse d’un dump mémoire
Extraction et analyse des process
TP / Recherche d’un malware à l’aide de Volatility
Modalités
Modalités : en présentiel, distanciel ou mixte – Horaires de 9H à 12H30 et de 14H à 17H30 soit 7H – Intra et Inter entreprise
Pédagogie : essentiellement participative et ludique, centrée sur l’expérience, l’immersion et la mise en pratique. Alternance d’apports théoriques et d’outils pratiques.
Ressources techniques et pédagogiques : Support de formation au format PDF ou PPT Ordinateur, vidéoprojecteur, Tableau blanc, Visioconférence : Cisco Webex / Teams / Zoom
Pendant la formation : mises en situation, autodiagnostics, travail individuel ou en sous-groupe sur des cas réels
Méthodes
Fin de formation : entretien individuel
Satisfaction des participants : questionnaire de satisfaction réalisé en fin de formation
Assiduité : certificat de réalisation (validation des acquis)
Contact : contact@astonbysqli.com
Code de formation : AIW
Tarifs
Prix public : 2495 €
Tarif & financement :
Nous vous accompagnons pour trouver la meilleure solution de financement parmi les suivantes :
- Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
- Le dispositif FNE-Formation.
- L’OPCO (opérateurs de compétences) de votre entreprise.
- Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.
- CPF -MonCompteFormation
Contactez nous pour plus d’information
Lieux & Horaires
Durée : 21 heures
Délai d'accès : 8 Jours
Prochaines sessions
Handi-accueillante
Accessible aux personnes en situations de handicap.
Pour toutes demandes, contactez notre référente,
Mme Rizlene Zumaglini
Mail : rzumaglini@aston-ecole.com