Cyber TeachersCyber Teachers
IntermédiaireDéfense / SOC30 à 40 h

Syllabus : SOC, détection et blue team

Futurs analystes SOC, ingénieurs cybersécurité orientés défense, renfort sur cursus réseau ou système.

Téléchargez ce syllabus en PDF

Nous préparons les exports PDF par demande : précisez le syllabus et votre contexte (école, durée, public) via le formulaire de contact.

Accéder au formulaire de contact →

Objectifs pédagogiques

  • Comprendre le pipeline détecter → qualifier → escalader → répondre.
  • Lire et corréler des logs, règles SIEM et alertes IDS/IPS.
  • Produire un ticket d’incident clair et participer à un exercice de crise simplifié.

Séquences

  1. Séance 1 · 3 h

    Rôle du SOC et modèles d’opération

    Niveaux L1/L2/L3, intégration ITSM, indicateurs de performance (MTTD, MTTR), collaboration avec les équipes infra et RSSI.

    Activité : Cartographie des flux d’escalade sur un cas organisation fictive.

  2. Séance 2 · 5 h

    Sources de données et normalisation

    Syslog, Windows Event Log, pare-feu, proxy, EDR : formats, horodatage, fiabilité et pièges courants.

    Activité : Lab : ingestion de jeux de logs et identification des champs critiques.

  3. Séance 3 · 8 h

    SIEM : requêtes, tableaux de bord et use cases

    Construction de requêtes, corrélation simple, détection d’anomalies basiques, gestion du bruit (false positives).

    Activité : Lab : implémenter 3 use cases (bruteforce SSH, exfiltration DNS suspecte, création de compte admin).

  4. Séance 4 · 5 h

    IDS/IPS et analyse réseau

    Signatures vs comportement, placement des sondes, lecture de captures PCAP ciblées.

    Activité : Lab Wireshark : suivre une chaîne d’attaque documentée et extraire les IoC.

  5. Séance 5 · 4 h

    Threat intelligence et enrichissement

    IoC, IoA, feeds, taxonomie MITRE ATT&CK pour contextualiser une alerte.

    Activité : Mapping d’une campagne simulée sur ATT&CK et fiche TI pour le SOC.

  6. Séance 6 · 5 h

    Playbooks et handover

    Playbooks de triage, communication avec le CERT interne, clôture d’incident et leçons apprises.

    Activité : Rédaction d’un playbook L1 pour phishing avec critères d’escalade.

Évaluation

Quiz sur formats de logs 20 %, labs SIEM 40 %, dossier incident simulé 30 %, oral court 10 %.

Prérequis

Réseau (TCP/IP, DNS), bases Windows et Linux, notion de pare-feu.

Outils et environnement

  • SIEM de lab (Splunk / ELK / Wazuh selon infra)
  • Wireshark
  • Navigateur MITRE ATT&CK

← Tous les syllabus·Contacter Cyber Teachers

logoCyber Teachers
© 2025 Cyber Teachers. Tous droits réservés.

Explorer

Ressources

Réseaux

Légal

Cyber Teachers