SOC Analyst & Threat Hunting
Devenez analyste SOC et apprenez à détecter, analyser et répondre aux incidents de sécurité en temps réel.
Informations pratiques
- Durée : 50h
- Niveau : Intermédiaire
- Modalité : Visio
Objectifs pédagogiques
- Maîtriser les opérations d'un SOC (Security Operations Center)
- Détecter et analyser les incidents de sécurité
- Utiliser les SIEM et outils de monitoring
- Réaliser du threat hunting proactif
- Gérer la réponse aux incidents
Programme de la formation
- Fondamentaux SOC (12h)
- Architecture d'un SOC : niveaux L1/L2/L3, rôles et organisation opérationnelle
- Processus SOC : détection, qualification, escalade et traitement des alertes
- Threat Intelligence : sources (OSINT, CERT, ISACs), formats STIX/TAXII et intégration
- Cyber Kill Chain de Lockheed Martin : 7 étapes d'une attaque et points de détection
- Modèle Diamond : adversaire, infrastructure, capacité et victime pour l'analyse
- Métriques SOC : MTTD, MTTR, taux de faux positifs et indicateurs de performance
- SIEM et Monitoring (15h)
- Splunk : architecture, ingestion de données, SPL (Search Processing Language) et dashboards
- ELK Stack : Elasticsearch, Logstash, Kibana — collecte, indexation et visualisation
- Analyse de logs : Windows Event Logs, Syslog, Apache/Nginx et logs applicatifs
- Règles de corrélation : construction, tuning et réduction des faux positifs
- Alerting et automatisation : playbooks, SOAR et orchestration des réponses
- Sources de données : EDR, proxy, DNS, firewall et flux réseau (NetFlow/sFlow)
- Threat Hunting (13h)
- Méthodologie de hunting : hypothèses, investigation proactive et documentation
- Indicateurs de compromission (IOC) : hashes, IP, domaines, URL et artefacts système
- Framework MITRE ATT&CK : tactiques, techniques et procédures (TTP) pour le hunting
- Forensics légère : analyse de processus, connexions réseau et artefacts mémoire
- Threat hunting sur les endpoints : EDR, autoruns, tâches planifiées et persistence
- Hunting réseau : analyse DNS, beaconing, C2 et exfiltration de données
Prérequis
Bases en cybersécurité et administration système
Public visé
Analystes sécurité, administrateurs, futurs SOC analysts
Méthodes pédagogiques
Formation en distanciel (visio) et/ou en présentiel selon les sessions
Évaluation
QCM, exercices pratiques, mise en situation professionnelle, étude de cas, projet final
Accessibilité
Formation accessible aux personnes en situation de handicap. Possibilités d'adaptation pédagogique et technique. Pour toute question concernant l'accessibilité, contactez notre référent handicap : Kelly Ohana - contact@visio-form.fr
VISIOFORM — La Formation du FuturTransformez vos compétences pour demain
Organisme certifié Qualiopi — IA, marketing digital, informatique, management, comptabilité et plus encore.