FORENSICS LINUX
Investigation numérique Windows
Formation créée le 16/04/2023. Dernière mise à jour le 20/02/2024.
Version du programme : 1
Programme de la formation
La réponse à incident et l’investigation numérique Linux : Concepts fondamentaux Live Forensics Prélèvement : Concepts et pré-requis La mémoire vive La mémoire de masse Cas d’étude 1, 2, 3
Objectifs de la formation
- Le candidat puisse comprendre les méthodologies, approches de ces domaines ainsi que les contraintes de gestion des preuves.
- Le candidat doit pouvoir démontrer ses compétences techniques dans la réalisation des différents prélèvements et le respect des actions de préservation et d’intégrité.
- Le candidat doit analyser les nombreux prélèvements en s’appuyant sur une méthodologie éprouvée. La connaissance des outils, leur fonctionnement et l'impact sur le système sont au cœur de ce domaine.
Profil des bénéficiaires
Pour qui
- Administrateur
- Analyste SOC
- Ingénieur sécurité.
- Membres d’un CISRT / Équipe de réponse à incident
Prérequis
- Connaissance sur les OS Windows, TCP/IP, Linux.
Contenu de la formation
-
Section 1 - La réponse à incident et l’investigation numérique
- Microsoft Windows : Concepts fondamentaux
- Méthodologie
- NIST/SANS/OODA
- PRIS/ISO
- Mise en place d’un laboratoire
-
Section 2 - Live Forensic
- Sources et commandes associée
- Outils
-
Section 3 - Analyse des journaux d’évènements
- Exploitation des Evtx / Etw
- Utilisation d’un SIEM
-
Section 4 - Artefacts Windows
- Artefacts Windows
-
Section 5 - La mémoire vive
- Prélèvement
- Analyse
- La mémoire vive
- Analyse. TP/TD
-
Section 6 - La mémoire de masse
- Prélèvement
- La mémoire de masse
- Artefacts
- Cas d’étude 1, 2, 3
Suivi de l'exécution et évaluation des résultats
- Feuilles de présence
- Questions orales ou écrites (QCM)
- Formulaires d'évaluation de la formation
Ressources techniques et pédagogiques
- Cahier d’exercice
- Étude de cas
- Le candidat a accès pendant 30 jours à une plateforme d'entraînement avant de planifier son examen
- Binaires
Qualité et satisfaction
Taux de réussite
Modalités de certification
Résultats attendus à l'issue de la formation
- Obtention par certification
Modalité d'obtention
- 6 h de pratique + 2 h de rédaction d’un rapport d’investigation. La certification est en ligne et surveillée. Examen OPENBOOK avec le droit aux supports de formation. Un diplôme numérique et physique est attribué au candidat.
Détails sur la certification
- Certification ESD-FORENSICSWINDOWS
Durée de validité
- 3 ans
Délai d'accès
2 semaines
Accessibilité
Accessible aux personnes en situation de handicap