New release : CTI Report - Pharmaceutical and drug manufacturing 

                 Download now

Formation : Gestion de crise, Workshop Politique de Journalisation

Référence : CERT-WPJ

Durée : 1 journée

Public : RSSI, administrateurs systèmes, analystes SOC

Prérequis : Connaissances de base en administration SI et sécurité.

Introduction :
Une politique de journalisation efficace constitue la base d’une supervision de sécurité performante et accélère les investigations en cas d’incident. Ce workshop s’appuie sur l’expérience terrain du CERT Intrinsec pour identifier les lacunes courantes révélées par les incidents traités, comme les défauts de détection précoce d’attaques (exfiltration, chiffrement de données). Les participants apprendront à configurer des journaux adaptés aux techniques d’attaquants (MITRE ATT&CK), couvrant proxy, firewall, EDR, Sysmon et Active Directory.

Objectifs Pédagogiques

  • Comprendre l’impact d’une journalisation inadéquate sur la détection et réponse aux incidents.
  • Identifier les journaux critiques par scénario d’attaque (drive-by, phishing, exploitation publique).
  • Mettre en œuvre des recommandations pratiques : tailles minimales (1-2 Go postes/serveurs), Event IDs clés (4688, 4104, Sysmon 1) et activation PowerShell/Sysmon
  • Évaluer et prioriser les sources de logs (SIEM, DNS, authentifications Event ID 4624/4625).

Programme Détaillé

  • Petit-déjeuner & tour de table (30min)
  • Contexte et Retours d’Expérience (1h30min) : Analyse d’incidents CERT montrant les échecs de journalisation.
  • Pause: (15min)
  • Recommandations Pratiques (30min) : Configuration minimale, points d’attention (quantités, mécanismes par défaut), ateliers hands-on.
  • Pause déjeuner (1h)
  • PART 1 Scénarios d’Attaques et Logs Clés (1h30) : Drive-by compromise (proxy/firewall/Sysmon), exploit public (WAF/EDR), phishing (PowerShell 4104), persistence/découverte (4688)
  • Pause (15min)
  • PART 2 Scénarios d’Attaques et Logs Clés (1h30) : Drive-by compromise (proxy/firewall/Sysmon), exploit public (WAF/EDR), phishing (PowerShell 4104), persistence/découverte (4688)
  • Conclusion et Q&R (30min) : Plan d’action personnalisé, intégration SIEM.

Nombre de personnes max : 6 à 8 personnes max

Offre soumise à condition : nombre minimal de 4 participants atteint

Avis clients

Formation très opérationnelle et pragmatique. Les retours d’expérience du CERT Intrinsec ont vraiment mis en lumière les lacunes que nous rencontrons au quotidien lors d’investigations. Les recommandations Sysmon et PowerShell sont immédiatement applicables.

M. Dupont

RSSI, secteur industriel

Excellent équilibre entre théorie et pratique. La partie sur les Event IDs critiques (4104, 4688, Sysmon 1) m’a permis de revoir totalement la configuration de nos serveurs et d’améliorer la visibilité pour le SOC

C. Lefèvre

Analyste SOC, banque et assurance

Le workshop m’a aidé à structurer notre politique de logs de façon plus claire et priorisée. Les scénarios MITRE ATT&CK sont très bien choisis pour illustrer les lacunes de détection.

A. Moreau

Administrateur Systèmes, secteur public

On sent que c’est construit à partir du terrain, pas d’une approche académique. Les échanges entre participants et les cas concrets du CERT Intrinsec renforcent vraiment la valeur du contenu.

T. Bernard

Responsable Sécurité Opérationnelle, secteur énergie

Très bon format : petit groupe, beaucoup d’interactions et d’exemples réels. Le plan d’action final pour notre SIEM a été un vrai plus.

L. Martin

RSSI, ESN / services numériques

Formation dense mais claire. J’ai particulièrement apprécié la partie sur la priorisation des sources de logs et l’intégration dans les outils de supervision.

E. Girard

Analyste sécurité, secteur santé

Pourquoi choisir Intrinsec ?

Formateurs issus directement du CERT, SOC et GRC Intrinsec

Cas concrets basés sur des incidents réels traités dans 10+ secteurs

Alignement total avec vos outils, référentiels et typologie d’environnement

Méthodologie basée sur MITRE ATT&CK, DFIR, NIST, ISO

Intégration possible dans vos parcours RH / conformité ISO / Campus internes

Vous souhaitez vous inscrire à notre workshop politique de journalisation ?

Nom

Accédez à notre livre blanc

Télécharger
Contact