Formation Suricata
| € HT / personne |
| 3 jours (21 heures) |
Présentation
Suricata est un moteur open-source de détection d’intrusions (IDS), prévention (IPS) et Network Security Monitoring (NSM) développé par l’OISF. Pensé pour l’inspection à haut débit et l’observabilité EVE JSON, il s’intègre nativement aux SIEM et aux workflows SOC.
Notre formation Suricata vous permettra de maîtriser l’analyse de trafic, la gestion des règles (ET/ETPro, personnalisées), le mode IPS (NFQUEUE), l’app-layer ainsi que l’intégration ELK/Splunk, en appliquant les bonnes pratiques de performance et de durcissement.
Vous apprendrez à installer, configurer, optimiser et industrialiser Suricata ; à automatiser suricata-update via CI/CD, à chasser les menaces dans les logs EVE et à opérer en IPS inline de manière sûre.
À l’issue de la formation, vous serez en mesure de déployer des capteurs performants, de construire des détections robustes, d’alimenter vos tableaux de bord et d’outiller votre réponse à incident.
Comme toutes nos formations, celle-ci s’appuie sur la dernière version stable et privilégie une approche résolument pratique et opérationnelle.
Objectifs
- Installer et configurer Suricata (IDS/IPS/NSM)
- Concevoir et maintenir des règles efficaces
- Intégrer les logs EVE JSON dans un SIEM
- Activer le mode IPS inline en sécurité
- Mettre en place l’automation (suricata-update, CI/CD)
- Superviser la performance et opérer en production
Public visé
- Équipes SOC (analystes N1-N3, threat hunters)
- Administrateurs systèmes/réseaux, ingénieurs sécurité
Pré-requis
- Connaissances réseau (TCP/IP, VLAN, routage de base)
- Notions Linux (shell, services, journaux)
- Premiers pas en SIEM / logs souhaités
Programme de notre formation Suricata
[Jour 1 – Matin]
Principes, installation et premiers paquets
- Positionnement IDS/IPS/NSM, architecture et cas d’usage SOC
- Capture réseau : AF-Packet, XDP/eBPF, NFQUEUE
- Formats EVE JSON, pcap, fichiers extraits
- Écosystème OISF, suricata-update, règles ET/ETPro
- Atelier pratique : installation, capture pcap, premiers logs
[Jour 1 – Après-midi]
Installation & capture haute performance
- Méthodes d’installation (packages, PPA/COPR, source)
- Inline vs passive, bypass, mirror/span
- Tuning OS : RSS/RPS/RFS, IRQ, CPU pinning
- Comparatif AF-Packet vs NFQUEUE
- Atelier pratique : micro-bench et choix runmode
Règles & signatures
- Syntaxe des règles (flowbits, thresholds, métadonnées)
- Gestion avec suricata-update (sources, enable/disable)
- Tests pcap-replay et validation
- Réduction des faux positifs
- Atelier pratique : écrire 3 règles custom
[Jour 2 – Matin]
Moteur d’inspection, décodage & observabilité
- Pipeline decode → detect, threads et runmodes
- App-Layer (HTTP/2, TLS, DNS, SMTP, SMB…)
- Regex Hyperscan/PCRE et performance
- Profiling via stats et tuning
- Atelier pratique : profiling & optimisation
[Jour 2 – Après-midi]
Logs EVE & intégrations SIEM
- Schémas EVE JSON (alerts, dns, http, tls, files, stats)
- Enrichissement (GeoIP, JA3/JA4)
- Intégrations Elastic/Logstash, Splunk, Graylog
- Tableaux de bord et alerting
- Atelier pratique : ELK pour Threat Hunting
Mode IPS & sécurisation
- Inline IPS avec NFQUEUE (verdicts)
- Gestion TLS, HTTP/2, DoH
- Blocklists et bascule détection → prévention
- Supervision santé & haute dispo
- Atelier pratique : scénarios IPS
[Jour 3 – Matin]
Chasse, automation & opérations
- Techniques MITRE ATT&CK, détection C2/DNS-tunnel
- Détection avancée TLS/HTTP/DNS
- Corrélation avec Zeek, NetFlow, EDR
- Playbooks de chasse
- Atelier pratique : parcours threat hunting
[Jour 3 – Après-midi]
Automatisation & CI/CD
- suricata-update, versionning des règles
- Tests pcap automatisés et perf gates
- Provision Ansible/Terraform
- Gouvernance et KPIs MTTD/MTTR
- Atelier pratique : pipeline CI de règles
Exploitation, SRE & réponse à incident
- Métriques, Prometheus/Grafana,
stats.log - Runbooks : drops, overflow, dégradations
- Sizing NIC/CPU/RAM, rotation/log retention
- Processus IR et post-mortem
- Atelier pratique : simulation d’incident & amélioration
Pour aller plus loin
Formation Splunk
Formation Analyste SOC
Formation Terraform
Langues et Lieux disponibles
Langues
- Français
- Anglais / English
Lieux
-
France entière
- Paris
- Lille
- Reims
- Lyon
- Toulouse
- Bordeaux
- Montpellier
- Nice
- Sophia Antipolis
- Marseille
- Aix-en-Provence
- Nantes
- Rennes
- Strasbourg
- Grenoble
- Dijon
- Tours
- Saint-Étienne
- Toulon
- Angers
-
Belgique
- Bruxelles
- Liège
-
Suisse
- Genève
- Zurich
- Lausanne
-
Luxembourg
Témoignages
⭐⭐⭐⭐⭐ 4,8/5 sur Google My Business. Vous aussi, partagez votre expérience !
Afficher tous les témoignages
⭐⭐⭐⭐⭐ 4,8/5 sur Google My Business. Vous aussi, partagez votre expérience !
Noter la formation
| € HT / personne |
| 3 jours (21 heures) |
UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?
Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.
ILS SE SONT FORMÉS CHEZ NOUS
