Formation SentinelOne

Formation SentinelOne

[Jour 1 – Matin]

Architecture et fondamentaux de SentinelOne

• Comprendre la plateforme SentinelOne Singularity : EDR, XDR, IA comportementale
• Fonctionnement du moteur comportemental et de la Storyline
• Structure de la solution : agents, console, groupes, politiques
• Composants clés : visibilité, détection, réponse autonome
• Bonnes pratiques de prise en main et organisation du tenant
• Atelier pratique : Exploration guidée de la console et première analyse d’activité.

[Jour 1 – Après-midi]

Déploiement et configuration des agents

• Méthodes de déploiement Windows / macOS / Linux
• Gestion des tokens d’enrôlement et modes de protection
• Création et paramétrage des politiques de sécurité
• Gestion des exclusions et règles contextuelles
• Contrôles intégrés : Device Control, firewall, réseau
• Atelier pratique : Déploiement d’agents + création d’une politique ciblée.

Premiers diagnostics et analyse des événements

• Types d’événements : alertes, incidents, comportements suspects
• Lecture des données enrichies via Deep Visibility
• Arborescence des processus et analyse du comportement
• Identification rapide des menaces et risques potentiels
• Utilisation des filtres et recherches avancées
• Atelier pratique : Diagnostic d’un événement suspect et analyse guidée.

[Jour 2 – Matin]

Investigation avancée

• Exploration complète de la Storyline
• Reconstitution de la chaîne d’attaque
• Corrélation des événements et indicateurs clés
• Analyse MITRE ATT&CK intégrée
• Détection des mouvements latéraux et compromissions avancées
• Atelier pratique : Investigation complète d’un incident complexe.

[Jour 2 – Après-midi]

Réponse à incident et remédiation

• Mécanismes de rollback automatisé
• Quarantaine, isolation réseau et suppression ciblée
• Gestion d’incidents à grande échelle
• Réponse manuelle vs réponse automatisée
• Stratégies de containment rapide
• Atelier pratique : Mise en œuvre d’une stratégie complète de remédiation.

Threat Intelligence et IOC

• Rôle de la Threat Intelligence dans SentinelOne
• Travail avec les IOC : hash, IP, domaine, URL
• Enrichissement automatique et réputation
• Listes d’indicateurs personnalisées
• Détection proactive par signaux comportementaux
• Atelier pratique : Ajout et exploitation d’IOC dans la plateforme.

[Jour 3 – Matin]

Supervision, alerting et reporting

• Construction de tableaux de bord personnalisés
• Analyse des tendances d’attaque et anomalies
• Création d’alertes ciblées
• Rapports automatisés pour équipes SOC / RSSI
• Indicateurs de performance et qualité de détection
• Atelier pratique : Création d’un dashboard opérationnel pour SOC.

[Jour 3 – Après-midi]

Intégration SIEM / SOAR et automatisation

• Connexion à un SIEM : Splunk, Elastic, Sentinel
• Scénarios SOAR : Cortex, Phantom, Shuffle
• Exploitation de l’API SentinelOne
• Webhooks, automatisations et enrichissements
• Construction d’un flux opérationnel SecOps automatisé
• Atelier pratique : Intégration SentinelOne / SIEM + alerting automatisé.

Maintenance, gouvernance et durcissement

• Gestion du cycle de vie des agents
• Stratégies de durcissement de la configuration
• Gestion des logs, stockage et conformité
• Gouvernance : rôles, permissions, audits
• Checklist de mise en production et bonnes pratiques
• Atelier pratique : Création d’un runbook d’exploitation SentinelOne.