Aller au contenu principal
The Progress Factory
NumériqueCybersécurité

TheHive & Cortex - Gestion d’incidents et automatisation SOC

Structurez vos investigations et automatisez l’analyse d’observables avec TheHive et Cortex.

4.8· 0 apprenants
Demander un devis
Durée
3 jours - 21 heures
Niveau
Intermédiaire
Formats
Présentiel · Distanciel

Présentation

Cette formation permet de mettre en place une chaîne de gestion d’incidents orientée SOC/CSIRT. Les participants manipulent cas, tâches, observables, analyseurs et réponses automatisées. La formation montre comment structurer les enquêtes et accélérer l’enrichissement technique. Elle est adaptée aux équipes de réponse aux incidents et aux SOC souhaitant industrialiser leurs pratiques.

À qui s'adresse cette formation ?

• Analystes SOC • Équipes CERT/CSIRT • Incident responders • Responsables sécurité opérationnelle • Threat intelligence analysts

Prérequis

• Bases en gestion d’incidents. • Compréhension des IOC et observables. • Notions Linux et API utiles.

Objectifs pédagogiques

  • 1Comprendre le rôle de TheHive dans une chaîne IR.
  • 2Créer et gérer des cas, tâches et observables.
  • 3Connecter Cortex et lancer des analyseurs.
  • 4Structurer des workflows d’investigation.
  • 5Produire un reporting d’incident exploitable.

Compétences visées

Administrer un espace d’investigation TheHive.Organiser des tâches de réponse à incident.Enrichir des observables via Cortex.Créer des modèles de cas et procédures.Capitaliser sur les incidents traités.

Programme

  1. 01

    Chaîne SOC/CSIRT

    Positionner TheHive et Cortex dans le processus de gestion d’incident.

  2. 02

    Installation et configuration

    Déployer les composants et préparer les accès utilisateurs.

  3. 03

    Cas, tâches et observables

    Structurer un incident, attribuer des actions et documenter les indices.

  4. 04

    Analyse avec Cortex

    Lancer des analyseurs, interpréter les résultats et enrichir les observables.

  5. 05

    Workflows et modèles

    Créer des templates de cas, procédures et tâches récurrentes.

  6. 06

    Reporting et capitalisation

    Produire des synthèses et améliorer la base de connaissance interne.

Méthodes pédagogiques

• Apports théoriques structurés et contextualisés. • Démonstrations guidées par le formateur. • Travaux pratiques sur environnement dédié, local ou cloud selon la solution. • Études de cas issues de situations d’entreprise. • Analyse des erreurs fréquentes et bonnes pratiques de production. • Temps d’échange pour adapter les exemples aux contextes des participants.

Évaluation & validation

• TP de création d’un cas complet. • Analyse d’observables avec Cortex. • Restitution d’un rapport d’incident.

Documents délivrés : • Support de cours PDF remis à chaque participant. • Fiches pratiques de configuration, d’exploitation ou de vérification selon la solution. • Exercices, scénarios de travaux pratiques et corrigés lorsque le format le permet. • Checklist de bonnes pratiques et points de vigilance pour un usage en contexte professionnel. • Bibliographie et liens vers les documentations officielles de l’éditeur ou du projet. • Attestation de fin de formation.

Accessibilité handicap

Nos formations sont accessibles aux personnes en situation de handicap. Contactez notre référent handicap pour un accompagnement personnalisé.

Prochaines sessions

Chargement des sessions…

Ce qui est inclus

  • Attestation

Nos garanties

Certification Qualiopi

Organisme certifié Qualiopi

Session 100 % garantie

Session garantie dès 1 apprenant

Questions fréquentes

2 200 €
HT / participant