Sujets du module : Participer à la sécurité et aux résultats des tests, Tests de pénétration. Dans Participer à la sécurité et aux résultats des tests, vous apprendrez à analyser les vulnérabilités, les catégories de logiciels de test de vulnérabilité, les qualités des tests de vulnérabilité, les problèmes potentiels, l'analyse de l'hôte, les considérations de sécurité de l'hôte, les types de trafic, les types de passerelles de sécurité, les tests de réseaux sans fil, les problèmes de sécurité potentiels, la recherche de points d'accès malveillants, le verrouillage de l'entreprise, les outils sans fil, la numérotation de guerre et la conduite de guerre. Dans Test de pénétration, vous apprendrez les modes de test de pénétration, boîte blanche/chapeau, boîte grise/chapeau, boîte noire/chapeau, phase 1 : préparation, rapport, phase 2 : reconnaissance et techniques de cartographie du réseau, reconnaissance, ingénierie sociale et reconnaissance de faible technicité, attaques whois, transferts de zones DNS, cartographie du réseau, techniques de cartographie du réseau, firewalking, outils intégrés de base, phase 3 : évaluation des informations et analyse des risques, phase 4 : pénétration active, phase 5 : analyse et rapport, étapes de haut niveau du test de pénétration.

Sujets du module : Événements d'intérêt, journalisation, systèmes sources, analyse de la sécurité, mesures et tendances, visualisation, analyse des données d'événements, communication des résultats. Dans Événements d'intérêt, vous apprendrez la terminologie de la surveillance, les systèmes de détection d'intrusion (IDS)/systèmes de prévention d'intrusion (IPS), la comparaison entre IDS et IPS, les types de dispositifs IDS/IPS, le déploiement de HIDS et NIDS, les problèmes de mise en œuvre de la surveillance, le contrôle de la surveillance, d'autres considérations, des exemples de questions à examiner, la collecte de données pour la réponse aux incidents, les techniques de réponse à la surveillance, les attaquants, les motivations des attaquants, les intrusions, les événements, les types de surveillance et les vérificateurs d'intégrité des fichiers, la surveillance continue/conformité. Dans Logging, vous apprendrez à examiner les journaux d'hôtes, les journaux d'incidents, les anomalies des journaux, la gestion des journaux, les niveaux d'écrêtage, le filtrage, la consolidation des journaux, la rétention des journaux, la journalisation centralisée (syslog et agrégation de journaux), syslog, les collecteurs de journaux distribués, les services de journalisation hébergés, la configuration des sources d'événements (s-flow, NetFlow, sniffer), Cosco NetFlow, Qu'est-ce qu'un flux IP, les attributs des paquets IP, comprendre le comportement du réseau, comment accéder aux données produites par NetFlow, comment le routeur ou le commutateur détermine-t-il les flux à exporter vers le serveur collecteur NetFlow, le format des données d'exportation, sFlow, les systèmes de corrélation d'événements (gestion de la sécurité, de l'information et des événements (SIEM)), les fonctions SIEM, la conformité, l'amélioration de la sécurité du réseau et des opérations informatiques/de sécurité, et la capture complète de paquets. Dans Source System, vous découvrirez la surveillance complète des applications, des intergiciels, des systèmes d'exploitation et de l'infrastructure, les hypercapacités et le gestionnaire des opérations. Surveillance de l'analyse et des rapports : Dans Security Analytics, Metrics, and Trends, vous découvrirez la ligne de base de la sécurité, la ligne de base de la sécurité du réseau, les mesures et l'analyse (MA), le modèle de maturité des capacités d'ingénierie de la sécurité des systèmes (SSE-CMM) et les mesures potentielles. Dans le thème de la visualisation, vous découvrirez les outils de visualisation des données. Dans l'analyse des données d'événements, vous découvrirez les journaux, la gestion des journaux, les recommandations en matière de gestion des journaux et les utilisations potentielles des données des journaux de serveur. Dans la rubrique Communication des résultats, vous découvrirez la liste de contrôle pour les rédacteurs et les réviseurs de rapports.

Thèmes du module : Préparation, détection et analyse, confinement, éradication et récupération, activité post-incident, mise en œuvre de contre-mesures. Dans l'introduction, vous apprendrez ce qu'est la réponse aux incidents et les définitions de base. Dans Préparation, vous découvrirez les éléments d'une politique de réponse aux incidents, le plan de réponse aux incidents, la formation, les outils de réponse aux incidents, la planification de la communication, la communication avec les forces de l'ordre, les médias, les exigences d'un traitement efficace des incidents, l'équipe de réponse aux incidents, les domaines clés de l'équipe, les équipes centralisées et décentralisées, la structure de l'équipe, les conditions de l'équipe qui favorisent le succès, et d'autres considérations. Dans la section Détection et analyse, vous découvrirez les systèmes de détection d'intrusion (IDS) et les systèmes de prévention d'intrusion (IPS), les types de systèmes d'intrusion, les techniques de détection d'intrusion, les faux positifs et les faux négatifs, les systèmes anti-malware, la gestion des événements de sécurité (SIEM), l'analyse des incidents, les renifleurs de paquets, les dispositifs de décryptage SSL en ligne, la documentation sur les incidents, les enregistrements, l'évaluation des risques, la réponse, les considérations relatives à la stratégie de confinement, le retardement du confinement, les domaines d'intervention, la définition d'un incident, le triage et la notification. Dans la section Confinement, éradication et récupération, vous découvrirez les activités courantes de confinement et d'éradication. Dans l'activité post-incident, vous apprendrez à réagir efficacement en cas d'incident. Dans la section sur la mise en œuvre des contre-mesures, vous apprendrez les étapes de la mise en œuvre.

Thème du module : Enquêtes judiciaires, plans et procédures d'intervention d'urgence, plans de reprise après sinistre, stratégies de traitement provisoire ou alternatif, mise en œuvre de la sauvegarde et de la redondance, disponibilité des systèmes et des données, tests et exercices. Comprendre et soutenir les enquêtes judiciaires : Dans les enquêtes judiciaires, vous apprendrez ce qu'est une scène de crime, une preuve vivante, le principe de Locard, le comportement criminel, l'équipe de réponse aux incidents, les lignes directrices générales, les règles empiriques, la collecte de preuves, les algorithmes Hash, les accusations criminelles, la documentation, les cinq règles de preuve, l'analyse des médias, l'analyse des réseaux, l'analyse des logiciels, l'identification de l'auteur, l'analyse du contenu, l'analyse du contexte, l'analyse du matériel/des dispositifs intégrés, les recommandations du NIST et la réponse à l'incident. Comprendre et soutenir le plan de continuité des activités : Dans les plans et procédures d'intervention d'urgence, vous apprendrez ce qu'est la planification de la continuité des activités, l'établissement d'un programme de continuité des activités, l'analyse de l'impact sur les activités (BIA), les concepts clés, le temps d'arrêt maximal tolérable (MTD), l'objectif de temps de reprise (RTO), l'objectif de point de reprise (RPO), les impacts financiers et non financiers, la contribution des parties prenantes, le processus d'achèvement de la BIA, les étapes du projet BIA, l'identification des ressources informatiques critiques, l'identification des impacts des perturbations et le développement des priorités en matière de reprise. Dans la section Planification de la reprise après sinistre, vous découvrirez les types d'identité des sinistres potentiels, les actifs, les considérations relatives au personnel et les documents connexes. Dans Stratégies de traitement provisoire ou alternatif, vous apprendrez ce qu'est un site froid, un site tiède, un site chaud, plusieurs sites de traitement et des sites mobiles. Dans la section Sauvegarde et mise en œuvre de la redondance, vous découvrirez la sauvegarde complète, la sauvegarde différentielle, la sauvegarde incrémentielle, l'évaluation des alternatives, le stockage hors site, l'archivage électronique et la journalisation à distance. Dans Disponibilité des systèmes et des données, vous apprendrez ce qu'est la mise en grappe, la mise en grappe à haute disponibilité, la mise en grappe à équilibrage de charge, la matrice redondante de disques indépendants (RAID), les techniques de redondance des données et les niveaux RAID. Dans la section Tests et exercices, vous apprendrez ce qu'est un test de liste de contrôle, un test de cheminement structuré, un test de simulation, un test parallèle, un test d'interruption complète, ainsi que l'examen et la maintenance du plan.

Ce travail est basé sur une étude de cas qui demandera à l'étudiant de mettre en pratique les connaissances qu'il a acquises pendant le cours. Il exige une compréhension de base des sujets et la capacité de relier ces sujets au monde réel. L'objectif de l'examen est de déterminer si l'étudiant a compris les concepts et s'il a effectué l'analyse nécessaire pour garantir une réponse complète et approfondie.