SIEM est un sous-ensemble des fonctionnalités SOAR. Alors que le système SIEM ne peut que « voir » et faciliter la gestion des événements, le système SOAR peut également prendre des mesures automatisées.

•  

Ressources requises

●   Appareil avec accès à l'internet

 

Dans cet atelier, nous allons examiner les fonctionnalités d'un exemple de rapport de vulnérabilité de test d'intrusion.

• Partie 1 : En savoir plus sur les créateurs d'un rapport d'évaluation des vulnérabilités
• Partie 2 : Vérifier les sections du rapport

 

 

Vous savez maintenant que l'évaluation des risques est un processus continu qui aide les entreprises à identifier et à évaluer les menaces qui pèsent sur leur sécurité. Continuons à l'examiner plus en détail.

Bienvenue dans l'examen des points de contrôle sur l'évaluation des vulnérabilités et la gestion des risques. Il y a 25 questions au total. Les éléments de cet examen permettent d'acquérir les compétences suivantes en matière de cybersécurité : Créer des documents et des politiques liés à la gouvernance et à la conformité en matière de cybersécurité Utiliser des outils pour tester la sécurité du réseau Évaluer les sources de Threat Intelligence Expliquer comment les vulnérabilités des terminaux sont évaluées et gérées Sélectionner des contrôles de sécurité en fonction des résultats de l'évaluation des risques

Ressources requises

●   Un appareil avec un accès internet

Au cours de ce TP, vous devez faire appel à vos connaissances sur les procédures de gestion des incidents pour formuler des questions sur les scénarios d'incidents donnés.

Objectifs

Faites appel à vos connaissances en procédures de gestion des incidents pour formuler des questions sur les scénarios d'incidents donnés.

Contexte/scénario

La gestion des incidents liés à la sécurité informatique est désormais au cœur de chaque entreprise. La gestion d'un incident peut s'avérer complexe et impliquer plusieurs groupes de collaborateurs. Toute entreprise doit disposer de standards pour la gestion des incidents, qu'elle mettra en œuvre sous la forme de politiques, de procédures et de listes de contrôle. Pour gérer un incident de manière efficace, l'analyste en sécurité doit être formé pour appliquer les mesures requises, tout en suivant les directives propres à l'entreprise. De nombreuses ressources sont disponibles pour aider les organisations à créer et à maintenir une stratégie de gestion des réponses aux incidents informatiques. La publication spéciale 800-61r2 du NIST est spécifiquement citée dans les sujets de l'examen Understanding Cisco Cybersecurity Operations Fundamentals (200-201 CBROPS).

Instructions

Scénario 1: Contamination par un ver et un agent DDoS

Étudiez le scénario suivant et identifiez les questions qui doivent être posées à chaque étape du processus de gestion de l'incident. Tenez compte des caractéristiques de l'entreprise et du modèle CSIRC au moment de formuler vos questions.

Ce scénario concerne une petite entreprise familiale spécialisée dans l'investissement. Celle-ci emploie moins de 100 employés sur un site unique. Un mardi matin, on découvre qu'un nouveau ver se propage dans l'entreprise via des supports amovibles. Ce ver est capable d'insérer une copie de lui-même dans des partages Windows ouverts. Lorsque le ver infecte un hôte, il y installe un agent DDoS. Les signatures antivirus n'ont été générées que plusieurs heures après le début de la propagation du ver. Les systèmes de l'entreprise étaient déjà largement infectés.

La société d'investissement a embauché une petite équipe d'experts en sécurité qui utilisent souvent le modèle de gestion des incidents Diamond.

Préparation:

Détection et analyse:

Confinement, éradication et rétablissement des systèmes:

Activités après l'incident:

Scenario 2: Accès non autorisé à des données de paie

Étudiez le scénario suivant. Identifiez les questions qui doivent être posées à chaque étape du processus de gestion de l'incident. Tenez compte des caractéristiques de l'entreprise et du modèle CSIRC au moment de formuler vos questions.

Ce scénario concerne un hôpital de taille moyenne disposant de plusieurs services de soins et bureaux annexes. L'hôpital emploie plus de 5 000 employés sur de très nombreux sites. En raison de sa taille, l'hôpital a décidé de mettre en place des équipes de gestion des incidents (CSIRC) sur différents sites. Il dispose également d'une équipe de coordinateurs qui contrôlent les opérations des équipes de sécurité et les aident à communiquer entre elles.

Un mercredi soir, l'équipe chargée de la sécurité physique de l'hôpital reçoit un appel d'une administratrice du service Paie qui a vu un inconnu sortir de son bureau et quitter le bâtiment en courant. L'administratrice n'avait laissé son bureau ouvert et sans surveillance que pendant quelques minutes. Le programme de paie est toujours ouvert et le menu principal est tel qu'il était quand elle a quitté le bureau, mais elle a l'impression que la souris a été déplacée. L'équipe de gestion des incidents a été chargée de rassembler des preuves liées à l'incident et d'identifier les opérations effectuées.

Les équipes de sécurité utilisent le modèle de chaîne de frappe et savent se servir de la base de données VERIS. Pour renforcer la sécurité de l'hôpital, elles ont également fait appel à une équipe de gestion des incidents externe chargée de surveiller les systèmes 24 h/24, 7 j/7.

Préparation:

Détection et analyse:

Confinement, éradication et rétablissement des systèmes:

Activités après l'incident:

Dans cette activité Packet Tracer, vous remplirez les objectifs suivants:

• Partie 1: Vérifier la configuration d'un commutateur
• Partie 2: Sauvegarde des fichiers sur un serveur TFTP
• Partie 3: Remplacer un commutateur défaillant
• Partie 4: Restaurer les opérations réseau

Au cours de ces travaux pratiques, vous aborderez les points suivants:

• Partie 1: Catastrophe naturelle
• Partie 2: Attaque DDoS
• Partie 3: Perte de données

Bienvenue dans l'examen Checkpoint de gestion des incidents. Il y a 20 questions au total. Les éléments de cet examen permettent d'acquérir les compétences suivantes en matière de cybersécurité : Utiliser des modèles de réponse aux incidents et des techniques d'analyse pour enquêter sur les incidents liés à la sécurité Vous disposez d'un nombre illimité de tentatives pour réussir l'examen. Les commentaires sont fournis pour vous diriger vers les domaines qui peuvent nécessiter une attention supplémentaire.

Bienvenue dans l'examen final du cours Gestion des Cybermenaces (CyberTM). Cette évaluation couvre les concepts et les compétences de base présentés dans les modules 1 à 6 du cours Gestion des Cybermenaces (CyberTM). Il y a 30 questions au total et vous devez obtenir au moins 70 % pour réussir. Les éléments de cet examen prennent en charge les compétences suivantes en matière de cybersécurité : Créer des documents et des politiques liés à la gouvernance et à la conformité en matière de cybersécurité Utiliser des outils pour tester la sécurité du réseau Évaluer les sources de Threat Intelligence Expliquer comment les vulnérabilités des terminaux sont évaluées et gérées Sélectionner des contrôles de sécurité en fonction des résultats de l'évaluation des risques Utiliser des modèles de réponse aux incidents et des techniques d'analyse pour enquêter sur les incidents liés à la sécurité Vous disposez d'un nombre illimité de tentatives pour réussir l'examen. Les commentaires sont fournis pour vous diriger vers les domaines qui peuvent nécessiter une attention supplémentaire.