Dans ce module, les apprenants auront une vue d'ensemble des outils d'analyse de réseau plus communément appelés "renifleurs de paquets". En particulier, les apprenants renifleront le réseau et analyseront les paquets à la recherche de menaces malveillantes. Les apprenants utiliseront également des commandes de filtrage communes à tcpdump et Wireshark pour analyser le contenu des captures de paquets.

Dans ce module, les apprenants exploreront les différents processus et procédures dans les étapes de détection d'incident, d'investigation, d'analyse et de réponse telles que définies par le NIST. Ils utiliseront VirusTotal comme outil d'investigation pour analyser les détails des hachages de fichiers suspects. Les apprenants reconnaîtront l'importance de la documentation et de la collecte de preuves au cours des étapes de détection et de réponse. Enfin, les apprenants établiront une approximation de la chronologie d'un incident en cartographiant les artefacts pour reconstruire la chronologie d'un incident.

Dans ce module, les apprenants auront une vue d'ensemble conceptuelle des journaux et de leur rôle dans les systèmes de détection d'intrusion (IDS) et les outils de gestion des informations et des événements de sécurité (SIEM). Le module abordera le concept général d'un IDS et la façon dont il fonctionne pour détecter les attaques avant de mettre en évidence des produits IDS et SIEM spécifiques, tels que Suricata, Splunk, Google SecOps (Chronicle), et Wazuh, respectivement. Les apprenants développeront ensuite une compréhension de la façon d'accéder et de naviguer dans Suricata et comment les règles de base sont configurées pour fournir des alertes, des événements et des journaux pour le trafic réseau malveillant. Ce module se terminera par une introduction à Splunk, Google SecOps (Chronicle) et Wazuh, et présentera certaines de leurs fonctionnalités, y compris les commandes courantes pour les requêtes de recherche.