Dans ce workshop, nous commencerons par voir ensemble des méthodes de collectes et d’analyses manuelles afin de trouver et de comprendre les éléments d’une machine compromise.

Nous présenterons une distribution linux bien connues et utiles : SIFT afin de commencer nos analyses.
Nous discuterons ensemble d’un outil afin de centraliser et traquer nos analyses et nos investigations afin de faciliter la remonter le partage d’informations.

Finalement, nous verrons ensemble comment appréhender et utiliser une plateforme de collection en temps réel : Velociraptor

Intervenants

Simon Thoores, Analystes SOC L3 et DFIR, possédant plusieurs années d’expérience dans le domaine du SOC et de la réponse à incidents. Simon est certifié par le SANS pour les analyses Forensic et la réponse à incidents, dans de nombreux cas de cyber attaque . Il est également passionné par l’évolution des acteurs de menaces afin de développer des méthodes et outils permettant de les contrecarrer et aider les clients en cas de situation de crise.

David, responsable du SOC AT-Defense dispose de plus de 15 ans d’expérience dans les domaines offensifs et défensifs. Certifié par le SANS en investigations forensics et réponse aux incidents de sécurité, il a pu travailler sur des incidents de tous types : espionnage, APT, Ransomware etc. A titre personnel, David est contributeur dans le monde de la sécurité à travers des publications de vulnérabilités, des contributions (ex : framework MITRE ATT&CK) ou en tant qu’auteur pour le magazine MISC ou les éditions Packt.

Simon et David travaillent ensemble depuis plusieurs années et sont de réels passionnés du domaine.