CyberOps 1.0 Release Notes

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 11

CCNA Cybersecurity Operations 1.

0 (CyberOps)
Notes de version
Dernière mise à jour 19 avril 2018

Objectif

Le cours Cisco CCNA® Cybersecurity Operations 1.0 (CyberOps) permet aux élèves d'acquérir les connaissances
et les compétences pratiques nécessaires à un poste d'analyste en cybersécurité dans un centre opérationnel de
sécurité (SOC). Dans ce cours, les élèves apprendront à détecter les menaces et à y répondre en utilisant les
toutes dernières technologies. Ce cours est aligné sur la certification CCNA CyberOps, qui garantit que le candidat
possède les compétences et les connaissances nécessaires à une carrière dans les opérations de cybersécurité,
pour lutter contre les menaces quotidiennes que subissent les entreprises.

Contenu de la version
Composant Description
Contenu de la formation en 13 chapitres
ligne

Vidéos 21 vidéos

Activités 47 activités pratiques (29 TP utilisent une ou plusieurs machines virtuelles)


54 exercices interactifs
5 exercices sur Packet Tracer
Ressources complémentaires Des ressources supplémentaires sont fournies par des liens externes

Utilisation des termes et des 13 Quizlet destinés à l'autoévaluation des connaissances des principaux termes et
concepts concepts du chapitre sous forme de flashcard.

Questionnaires liés aux 13 questionnaires modifiables relatifs aux chapitres


chapitres
Examens liés aux chapitres 13

Enquête de fin de cours 1 enquête de fin de cours permettant de donner son avis sur le cours. Le
questionnaire de fin de cours contient une question ouverte. Les instructeurs n'ont
pas accès aux réponses des élèves à cette question.

Examen blanc final 1

Examens blancs de 1 examen blanc de certification SECFND (210-250), 1 examen blanc de certification
certification SECOP (210-255)

Évaluation de fin de cours 1 évaluation de fin de cours portant sur le contenu du cours

Évaluation des compétences 1

Accessibilité 13 chapitres avec du texte accessible et du contenu multimédia

Attestation de réussite à la L'attestation est conditionnée par la réussite à l'évaluation de fin de cours et par
formation l'enquête qui doit être remplie en fin de cours.

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 sur 11
Problèmes connus
Élément Description
Orthographe anglaise Certains mots sont orthographiés en anglais américain dans le texte des modules

Sous-titres Utilisez le lien vidéo externe si vous rencontrez des problèmes avec les vidéos intégrées

Programme Vous devez utiliser Packet Tracer version 7.0 ou supérieure pour charger les activités de
Packet Tracer Packet Tracer dans ce cours.
Enquête de fin de cours Le questionnaire de fin de cours contient une question ouverte. Les instructeurs n'ont pas
accès aux réponses des élèves à cette question.

Description de la formation
Chapitres Titre
1 Cybersécurité et centre opérationnel de sécurité

2 Système d'exploitation Windows

3 Système d'exploitation Linux

4 Protocoles et services réseau

5 L'infrastructure de réseau

6 Principes de sécurité du réseau

7 Tout savoir sur les attaques réseau

8 Protection du réseau

9 La cryptographie et l'infrastructure à clé publique

10 Analyse et sécurité des terminaux

11 Surveillance de la sécurité

12 Analyse des données relatives aux intrusions

13 La gestion des incidents

Alignement sur l'examen de la certification SECFND (210-250)


SECFND (210-250) CCNA Cybersecurity Operations 1.0
1.0 Concepts du réseau
1.1 Description de la fonction des couches réseau telle que Chapitre 4 : Protocoles et services réseau
spécifiée par l'OSI et les modèles de réseaux TCP/IP

1.2 Description du fonctionnement des protocoles réseau Chapitre 4 : Protocoles et services réseau
suivants : Chapitre 7 : Tout savoir sur les attaques réseau
• IP
• TCP
• UDP
• ICMP

1.3 Description du fonctionnement des services réseau Chapitre 4 : Protocoles et services réseau
suivants : Chapitre 7 : Tout savoir sur les attaques réseau
• ARP
• DNS
• DHCP

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 2 sur 11
SECFND (210-250) CCNA Cybersecurity Operations 1.0
1.4 Description du fonctionnement de base des types de Chapitre 5 : L'infrastructure de réseau
périphériques réseau suivants :
• Routeur
• Commutateur
• Concentrateur
• Configuration
• Point d'accès sans fil
• Contrôleur LAN sans fil (WLC)
1.5 Description des fonctions des dispositifs de sécurité de Chapitre 5 : L'infrastructure de réseau
réseau suivants, déployés sur l'hôte, le réseau ou le cloud : Chapitre 10 : Analyse et sécurité des terminaux
• Pare-feu
• Système de protection contre les intrusions (IPS)
• Advanced Malware Protection (AMP)
• Appliance de sécurité de la messagerie (WSA) /
Solution cloud de sécurisation du web (CWS) Cisco
• Appliance de sécurité de la messagerie (ESA) /
Solution cloud de sécurité de la messagerie (CES)
Cisco
1.6 Description des sous-réseaux IP et de la communication Chapitre 4 : Protocoles et services réseau
dans un sous-réseau IP et entre les sous-réseaux IP
1.7 Description de la relation entre les VLAN et la visibilité des Chapitre 5 : L'infrastructure de réseau
données
1.8 Description du fonctionnement des listes de contrôle Chapitre 5 : L'infrastructure de réseau
d'accès (ACL) appliquées comme filtres de paquets sur les
interfaces des périphériques réseau
1.9 Comparaison et différenciation de l'inspection approfondie Chapitre 5 : L'infrastructure de réseau
des paquets avec filtrage de paquets et utilisation du pare-feu
stateful
1.10 Comparaison et différenciation de l'interrogation et de la Chapitre 5 : L'infrastructure de réseau
surveillance du trafic en ligne ou de sa mise en miroir
1.11 Comparaison et différenciation des caractéristiques des Chapitre 5 : L'infrastructure de réseau
données obtenues à partir de la surveillance ou de la mise en Chapitre 7 : Tout savoir sur les attaques réseau
miroir du trafic et de Netflow dans l'analyse du trafic réseau
2.0 Concepts de sécurité
2.1 Description des principes d'une stratégie de défense en Chapitre 8 : Protection du réseau
profondeur

2.2 Comparaison et différenciation des termes suivants : Chapitre 6 : Principes de sécurité du réseau
• Risques
• Menace
• Vulnérabilité
• Exploitation
2.3 Description des termes suivants : Chapitre 1 : Cybersécurité et centre opérationnel de sécurité
• Hacker Chapitre 11 : Surveillance de la sécurité
• Automatisation du runbook (RBA) Chapitre 12 : Analyse des données relatives aux intrusions
• Chaîne de responsabilité (prouvée) Chapitre 13 : La gestion des incidents
• Rétro-ingénierie
• Détection des anomalies avec fenêtre glissante
• Informations personnellement identifiables
• PHI

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 3 sur 11
SECFND (210-250) CCNA Cybersecurity Operations 1.0
2.4 Description des termes relatifs à la sécurité suivants : Chapitre 10 : Analyse et sécurité des terminaux
• Principe du moindre privilège
• Pondération/Notation des risques
• Réduction des risques
• Évaluation des risques

2.5 Comparaison et différenciation des modèles de contrôle Chapitre 8 : Protection du réseau


d'accès suivants :
• Contrôle d'accès discrétionnaire
• Contrôle d'accès obligatoire (MAC)
• Contrôle d'accès non discrétionnaire

2.6 Comparaison et différenciation des termes suivants : Chapitre 10 : Analyse et sécurité des terminaux
• Antivirus réseau et hôte Chapitre 11 : Surveillance de la sécurité
• Protection avec agent et sans agent
• Recueil de journaux et SIEM
2.7 Description des concepts suivants : Chapitre 8 : Protection du réseau
• Gestion des biens Chapitre 10 : Analyse et sécurité des terminaux
• Gestion de la configuration
• Gestion des appareils mobiles
• Gestion des correctifs
• Gestion des vulnérabilités
3.0 Cryptographie
3.1 Description des utilisations d'un algorithme de hash Chapitre 9 : La cryptographie et l’infrastructure à clé publique

3.2 Description des utilisations des algorithmes de chiffrement Chapitre 9 : La cryptographie et l’infrastructure à clé publique

3.3 Comparaison et différenciation des algorithmes de Chapitre 9 : La cryptographie et l’infrastructure à clé publique
chiffrement asymétriques et symétriques

3.4 Description des processus de création et de vérification Chapitre 9 : La cryptographie et l’infrastructure à clé publique
des signatures numériques

3.5 Description du fonctionnement d'une infrastructure PKI Chapitre 9 : La cryptographie et l’infrastructure à clé publique

3.6 Description de l'effet sur la sécurité des algorithmes de Chapitre 9 : La cryptographie et l’infrastructure à clé publique
hash couramment utilisés ci-dessous :
• MD5
• SHA-1
• SHA-256
• RSA4096
• SHA-512

3.7 Description de l'effet sur la sécurité des algorithmes de Chapitre 9 : La cryptographie et l’infrastructure à clé publique
chiffrement et protocoles de communications sécurisées
couramment utilisés ci-dessous :
• DES
• 3DES
• AES
• AES256-CTR
• RSA
• DSA
• SSH
• SSL/TLS

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 4 sur 11
SECFND (210-250) CCNA Cybersecurity Operations 1.0
3.8 Description de l'effet de la réussite ou de l'échec d'un Chapitre 9 : La cryptographie et l’infrastructure à clé publique
échange cryptographique sur l'investigation d'une attaque

3.9 Description des éléments suivants par rapport aux normes Chapitre 9 : La cryptographie et l’infrastructure à clé publique
SSL/TLS :
• Suite de chiffrement
• Certificats X.509
• Échange de clés
• Version de protocole
• PKCS
4.0 Analyse basée sur l'hôte
4.1 Définition des termes suivants en relation avec Microsoft Chapitre 2 : Système d'exploitation Windows
Windows :
• Processus
• Threads
• Allocation de mémoire
• Registre Windows
• WMI
• Systèmes tiers
• Services
4.2 Définition des termes suivants en relation avec Linux : Chapitre 3 : Système d'exploitation Linux
• Processus
• Bifurcations
• Autorisations
• Liens symboliques
• Démon

4.3 Description des fonctionnalités des terminaux en matière Chapitre 10 : Analyse et sécurité des terminaux
de surveillance de la sécurité :
• Détection des intrusions basées sur l'hôte
• Antimalware et antivirus
• Pare-feu basé sur l'hôte
• Liste blanche/liste noire au niveau de l'application
• Sandboxing basé sur les systèmes (tels que
Chrome, Java, Adobe Reader)

4.4 Interprétation des données de journalisation des systèmes Chapitre 2 : Système d'exploitation Windows
d'exploitation suivants pour identifier un événement : Chapitre 5 : L'infrastructure de réseau
• Journaux d'événements liés à la sécurité Windows Chapitre 11 : Surveillance de la sécurité
• Syslog basé sur Unix
• Journaux d'accès Apache
• Journaux d'accès IIS
5.0 Activités de sécurité
5.1 Identification des types de données fournis par les Chapitre 11 : Surveillance de la sécurité
technologies suivantes :
• Tcpdump
• NetFlow
• Pare-feu de nouvelle génération
• Pare-feu « stateful » classiques
• Visibilité et contrôle sur les applications

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 5 sur 11
SECFND (210-250) CCNA Cybersecurity Operations 1.0
• Filtrage du contenu web
• Filtrage du contenu des e-mails

5.2 Description des types suivants de données utilisés dans Chapitre 11 : Surveillance de la sécurité
les activités de sécurité :
• Capture complète des paquets
• Données de session
• Données de transaction
• Données statistiques
• Contenu extrait
• Données d'alerte

5.3 Description des concepts suivants en relation avec les Chapitre 9 : La cryptographie et l’infrastructure à clé publique
activités de sécurité : Chapitre 11 : Surveillance de la sécurité
• Liste de contrôle d'accès
• NAT/PAT
• Tunnellisation
• TOR
• Chiffrement
• P2P
• Encapsulation
• Équilibrage de charge

5.4 Description des types suivants d'événements liés aux Chapitre 11 : Surveillance de la sécurité
systèmes de protection contre les intrusions nouvelle
génération :
• Événement de connexion
• Événement d'intrusion
• Événement de terminal ou d'hôte
• Événement de découverte du réseau
• Événement NetFlow

5.5 Description de la fonction des protocoles suivants dans les Chapitre 11 : Surveillance de la sécurité
activités de sécurité :
• DNS
• NTP
• SMTP/POP/IMAP
• HTTP/HTTPS
6.0 Méthodes d'attaque
6.1 Comparaison et différenciation entre une surface Chapitre 6 : Principes de sécurité du réseau
d'exposition et une vulnérabilité Chapitre 7 : Tout savoir sur les attaques réseau
Chapitre 10 : Analyse et sécurité des terminaux

6.2 Descriptions des attaques de réseau suivantes : Chapitre 6 : Principes de sécurité du réseau
• Déni de service Chapitre 7 : Tout savoir sur les attaques réseau
• Déni de service distribué (DDoS)
• Homme du milieu (Man in the Middle)

6.3 Descriptions des attaques d'application web suivantes : Chapitre 7 : Tout savoir sur les attaques réseau
• Injection SQL
• Injections de commande
• Cross-site scripting

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 6 sur 11
SECFND (210-250) CCNA Cybersecurity Operations 1.0
6.4 Description des attaques suivantes : Chapitre 6 : Principes de sécurité du réseau
• Ingénierie sociale
• Phishing
• Méthodes de contournement

6.5 Descriptions des attaques de terminaux suivantes : Chapitre 6 : Principes de sécurité du réseau
• Dépassements de mémoire tampon
• Serveurs de commande et contrôle (C2)
• Malware
• Rootkit
• Balayage des ports
• Profils d'hôte
6.6 Description des méthodes d'évasion suivantes : Chapitre 6 : Principes de sécurité du réseau
• Chiffrement et tunnellisation
• Épuisement des ressources
• Fragmentation du trafic
• Mauvaise interprétation au niveau du protocole
• Insertion et substitution de trafic
• Pivot

6.7 Définition de l'élévation des privilèges Chapitre 6 : Principes de sécurité du réseau

6.8 Comparaison et différentiation entre un exploit distant et un Chapitre 6 : Principes de sécurité du réseau
exploit local

Alignement sur l'examen de la certification SECOPS (210-255)


SECOPS (210-255) CCNA Cybersecurity Operations 1.0
1.0 Analyse des menaces sur les terminaux et analyses informatiques

1.1 Interprétation du rapport d'un outil d'analyse des malwares Chapitre 10 : Analyse et sécurité des terminaux
tels qu'AMP Threat Grid ou Cuckoo Sandbox

1.2 Description des termes suivants tels que définis dans le Chapitre 10 : Analyse et sécurité des terminaux
cadre de la norme CVSS 3.0 :
• Vecteur d'attaque
• Complexité de l'attaque
• Privilèges requis
• Interaction avec les utilisateurs
• Portée

1.3 Description des termes suivants tels que définis dans le Chapitre 10 : Analyse et sécurité des terminaux
cadre de la norme CVSS 3.0 :
• Confidentialité
• Intégrité
• Disponibilité

1.4 Définition des termes suivants en relation avec le système Chapitre 2 : Système d'exploitation Windows
de fichiers Microsoft Windows :
• FAT32
• NTFS
• Flux de données alternatifs
• MACE

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 7 sur 11
SECOPS (210-255) CCNA Cybersecurity Operations 1.0
• EFI
• Espace libre
• Horodatages sur un système de fichiers

1.5 Définition des termes suivants en relation avec le système Chapitre 3 : Système d'exploitation Linux
de fichiers Linux :
• EXT4
• Journalisation
• MBR
• Système de fichiers d'échange
• MAC

1.6 Comparaison et différenciation des termes suivants : Chapitre 12 : Analyse des données relatives aux intrusions
• Meilleure preuve
• Preuve corroborante
• Preuve indirecte

1.7 Comparaison et différenciation des termes suivants : Chapitre 12 : Analyse des données relatives aux intrusions
• Image disque altérée
• Image disque non altérée

1.8 Description du rôle de l'attribution dans une investigation : Chapitre 12 : Analyse des données relatives aux intrusions
• Ressources
• Hacker
2.0 Analyse d'une intrusion réseau
2.1 Interprétation des expressions régulières simples Chapitre 12 : Analyse des données relatives aux intrusions

2.2 Description des champs dans les en-têtes de protocole Chapitre 4 : Protocoles et services réseau
suivants en relation avec l'analyse des intrusions : Chapitre 7 : Tout savoir sur les attaques réseau
• Trame Ethernet
• IPv4
• IPv6
• TCP
• UDP
• ICMP
• HTTP

2.3 Identification des éléments de l'enregistrement Netflow v5 Chapitre 11 : Surveillance de la sécurité


d'un événement lié à la sécurité

2.4 Identification des éléments clés suivants dans l'intrusion Chapitre 12 : Analyse des données relatives aux intrusions
d'un fichier PCAP donné :
• Adresse source
• Adresse de destination
• Port source
• Port de destination
• Protocoles
• Charges utiles

2.5 Extraction de fichiers d'un flux TCP en fonction d'un fichier Chapitre 12 : Analyse des données relatives aux intrusions
PCAP et Wireshark

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 8 sur 11
SECOPS (210-255) CCNA Cybersecurity Operations 1.0
2.6 Interprétation des artefacts courants d'un événement Chapitre 11 : Surveillance de la sécurité
permettant d'identifier une alerte : Chapitre 12 : Analyse des données relatives aux intrusions
• Adresse IP (source / destination)
• Identité de port client et serveur
• Processus (fichier ou registre)
• Système (appels API)
• Hashs
• URI/URL
2.7 Mappage des événements fournis avec les technologies Chapitre 11 : Surveillance de la sécurité
sources suivantes : Chapitre 12 : Analyse des données relatives aux intrusions
• NetFlow
• IDS/IPS
• Pare-feu
• Contrôle des applications réseau
• Journaux du proxy
• Antivirus
2.8 Comparaison et différenciation des effets et de l'absence Chapitre 12 : Analyse des données relatives aux intrusions
d'effet des éléments suivants :
• Faux positif
• Faux négatif
• Vrai positif
• Vrai négatif
2.9 Interprétation d'un profil d'événement et d'un profil d'hôte Non couvert dans ce cours*
pour calculer l'indicateur d'impact généré par Firepower
Management Center (FMC)
3.0 Gestion des incidents
3.1 Description des éléments à inclure dans un plan de gestion Chapitre 13 : La gestion des incidents
des incidents, comme indiqué dans NIST-SP800-61 r2
3.2 Mappage d'éléments dans les étapes suivantes de Chapitre 13 : La gestion des incidents
l'analyse fondée sur NIST-SP800-61R2 :
• Préparation
• Détection et analyse
• Confinement, éradication et rétablissement des
systèmes
• Analyse après incident (retenir la leçon)
3.3 Mappage des intervenants de l'entreprise par rapport aux Chapitre 13 : La gestion des incidents
catégories de NIST IR (C2M2, NIST.SP800-61 r2) :
• Préparation
• Détection et analyse
• Confinement, éradication et rétablissement des
systèmes
• Analyse après incident (retenir la leçon)
3.4 Description des buts de l'équipe CSIRT Chapitre 13 : La gestion des incidents
• Équipe CSIRT interne
• Équipe CSIRT nationale
• Centres de coordination
• Centres d'analyse
• Équipes du fournisseur
• Équipes de gestion des incidents (MSSP)

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 9 sur 11
SECOPS (210-255) CCNA Cybersecurity Operations 1.0
3.5 Identification des éléments suivants, utilisés pour le Chapitre 11 : Surveillance de la sécurité
profilage du réseau :
• Débit total
• Durée de la session
• Ports utilisés
• Espace d'adressage critique

3.6 Identification des éléments suivants, utilisés pour le Chapitre 10 : Analyse et sécurité des terminaux
profilage du serveur :
• Ports en mode écoute
• Comptes d'utilisateurs/de services connectés
• Processus en cours d'exécution
• Tâches en cours d'exécution
• Applications

3.7 Mappage des types de données sur les cadres de Chapitre 10 : Analyse et sécurité des terminaux
conformité suivants :
• PCI
• Loi sur la protection des données médicales HIPPA
(Health Insurance Portability & Accountability Act)
• SOX

3.8 Identification des données qui doivent être protégées en Chapitre 10 : Analyse et sécurité des terminaux
fonction d'une norme spécifique (PCI-DSS)
4.0 Analyse des données et des événements
4.1 Description du processus de normalisation des données Chapitre 12 : Analyse des données relatives aux intrusions

4.2 Interprétation des types de données courants dans un Chapitre 12 : Analyse des données relatives aux intrusions
format universel
4.3 Description de la corrélation en quintuplets Chapitre 12 : Analyse des données relatives aux intrusions

4.4 Application de l'approche utilisant des quintuplets pour Chapitre 12 : Analyse des données relatives aux intrusions
isoler un hôte compromis dans un ensemble groupé de
journaux

4.5 Description de la méthode d'analyse rétrospective pour Chapitre 12 : Analyse des données relatives aux intrusions
trouver un fichier malveillant, basée sur un rapport d'analyse
de fichier

4.6 Mappage conjoint des journaux DNS et HTTP pour trouver Chapitre 12 : Analyse des données relatives aux intrusions
un hacker

4.7 Mappage conjoint des données DNS, HTTP et de Threat Chapitre 12 : Analyse des données relatives aux intrusions
Intelligence

4.8 Identification d'une règle de corrélation pour distinguer Non couvert dans ce cours*
l'alerte la plus importante parmi un ensemble d'événements
donné provenant de plusieurs sources, à l'aide de la console
de gestion Firepower

4.9 Comparaison et différentiation de l'analyse déterministe et Chapitre 12 : Analyse des données relatives aux intrusions
probabiliste
5.0 Gestion des incidents
5.1 Classification des intrusions dans les catégories suivantes Chapitre 13 : La gestion des incidents
telles que définies dans le modèle Diamond :
• Reconnaissance
• Déploiement des armes
• Livraison

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 10 sur 11
SECOPS (210-255) CCNA Cybersecurity Operations 1.0
• Exploitation
• Installation
• Commande et contrôle
• Action en fonction des objectifs

5.2 Application du processus de gestion des incidents Chapitre 13 : La gestion des incidents
NIST.SP800-61 r2 à un événement

5.3 Définition des activités suivantes en rapport avec la gestion Chapitre 13 : La gestion des incidents
des incidents :
• Identification
• Définition de la portée
• Isolation
• Correction
• Renforcement de la protection après avoir tiré des
leçons des incidents
• Reporting

5.4 Description des termes suivants tels que définis dans la Chapitre 12 : Analyse des données relatives aux intrusions
norme NIST SP800-86 :
• Ordre de collecte des preuves
• Intégrité des données
• Conservation des données
• Collecte de données volatiles

5.5 Application des catégories du schéma VERIS à un incident Chapitre 13 : La gestion des incidents
donné

* Bien que les deux sujets d'examen soient répertoriés pour Firepower Management Console, ils ne sont pas
actuellement évalués dans les examens SECFND (210-250) et SECOP (210-255).

Assistance
Pour toute demande concernant le cursus, la classe ou le programme, contactez le service d'assistance de la
Networking Academy™. Pour cela, identifiez-vous sur dans l'environnement d'apprentissage NetAcad et cliquez
sur Aide > Contacter le service d'assistance en haut de la page.

© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 11 sur 11

Vous aimerez peut-être aussi