Réponse aux incidents et triage de logiciels malveillants

Réponse aux incidents et triage de logiciels malveillants

Explorez la criminalistique numérique (digital forensics), la réponse aux incidents et le triage de logiciels malveillants (malware triage) dans ce cours exclusivement composé de défis, articulé autour de preuves compromises et de scénarios d'incidents réels. Plutôt que de suivre des laboratoires guidés, vous travaillerez sur des artefacts disque préservés, des indices issus de la mémoire vive et la reconstruction du comportement de malwares, le tout au sein d'un flux de travail DFIR cohérent.

Pourquoi est-ce important ?

Une réponse aux incidents efficace exige des analystes qu'ils naviguent entre de multiples sources de preuves sans perdre le fil. Les artefacts disque, la mémoire volatile et le comportement des malwares répondent chacun à des questions différentes ; les conclusions pertinentes naissent de la corrélation entre ces éléments. Ce cours est conçu pour mettre à l'épreuve cette capacité d'investigation globale.

S'agissant d'un projet pratique, l'accent est mis sur le jugement de l'analyste et la corrélation des preuves. Vous devrez déterminer comment extraire les indices, valider vos découvertes et les exploiter à travers différents types de défis d'analyse forensique et de malwares.

Ce que vous allez apprendre

• Examiner des preuves disque compromises et préserver le contexte forensique utile.
• Effectuer le triage d'artefacts en mémoire vive pour identifier les processus et connexions suspects.
• Reconstruire le comportement d'un malware à partir d'indicateurs statiques et dynamiques.
• Corréler les preuves issues du disque, de la mémoire et du comportement des exécutables.
• Pratiquer la réflexion de bout en bout nécessaire aux investigations DFIR.

Feuille de route du cours

• Examen des preuves disque compromises : Récupérer et analyser les preuves du système de fichiers d'un système compromis.
• Triage d'incidents en mémoire vive : Utiliser les indices de la mémoire volatile pour identifier une activité malveillante active ou récente.
• Reconstruction du comportement des malwares : Expliquer les actions d'un binaire suspect sur la base des preuves observées.

À qui s'adresse ce cours ?

• Aux apprenants ayant terminé les cours de DFIR et d'analyse de malwares et souhaitant réaliser un projet de synthèse réaliste.
• Aux intervenants en réponse aux incidents souhaitant s'exercer aux flux de travail d'investigation croisée.
• Aux analystes en sécurité cherchant à renforcer leurs méthodes pour lier les découvertes sur disque, en mémoire et liées aux malwares.

Résultats attendus

À la fin de ce cours, vous serez capable d'aborder un incident comme une investigation connectée, en passant des artefacts préservés aux preuves volatiles et au comportement des malwares, afin de produire une conclusion claire sur les activités de l'attaquant.