Formations › CyberSécurité › Analyste SOC › Formation StrangeBee : TheHive

Formation StrangeBee : TheHive

Niveau expert

Catégorie Essential

Prix	€ ^HT / personne
3 jours (21 heures)

Paris | Classe Virtuelle

lun 18

mer 20

Août

lun 13

mer 15

Octobre

lun 8

mer 10

Décembre

 Dernières places  Virtuelle uniquement

Labs : Infrastructure DaaS avec Chrome



Cafés et déjeuners offerts en interentreprises



En intra-entreprise pour former votre équipe

Aide au financement 2500€ Bonus Atlas CPF

Nouveauté Programme fidélité : 5% cumulé

Présentation

Maîtrisez TheHive pour structurer, automatiser et optimiser votre gestion des incidents de sécurité. Cette formation vous accompagne pas à pas dans la mise en œuvre d’un SOC moderne, en exploitant pleinement la puissance de TheHive.

Vous apprendrez à installer, configurer et sécuriser TheHive, à créer des alertes et des cas, à coordonner les actions de réponse avec Cortex, et à automatiser l’enrichissement et la remédiation des incidents via des analyseurs et des répondeurs personnalisés.

Vous saurez intégrer les sources de renseignement, cartographier les menaces selon MITRE ATT&CK, produire des rapports exploitables et piloter l’activité du SOC grâce à des tableaux de bord et indicateurs avancés.

Vous serez également formé à la sécurisation des accès, à la conformité, à la gouvernance des données sensibles et à la mise à l’échelle dans un environnement cloud, multi-tenant ou hybride.

Comme pour toutes nos formations, elle se déroulera sur ma toute dernière version de l’outil TheHive

Objectifs

Comprendre l’architecture technique de TheHive, Cortex et MISP pour construire une plateforme intégrée de gestion des incidents de sécurité
Installer, configurer et sécuriser une instance TheHive on-premise ou cloud, en appliquant les bonnes pratiques d’administration et de conformité
Créer, enrichir et automatiser les cas d’incident à l’aide des alertes, des tâches, des observables et des modules Cortex
Intégrer les sources de renseignement pour renforcer l’analyse, la corrélation et la réponse aux menaces
Superviser l’activité du SOC via des tableaux de bord, des KPIs personnalisés et des exports de rapports en Markdown ou HTML
Déployer TheHive dans une architecture scalable, et orchestrer sa maintenance avec des outils DevOps et des API REST

Public visé

Analystes SOC
Analystes Cybersécurité
Ingénieur en sécurité
Administrateur Réseau

Pré-requis

Connaissances de base sur les APIs REST
Maîtrise des environnements Linux et des lignes de commande

Programme de la formation TheHive

Introduction à TheHive et son écosystème

Architecture modulaire
Modèle open source et offres commerciales
Cortex : moteur d’analyse automatisée
MISP : plateforme de renseignement sur les menaces
Intégration MITRE ATT&CK, SIEM, outils EDR

Installation et Configuration Initiale

Environnement système (Linux, Docker, PostgreSQL, Java)
Réseau, dépendances, sécurité
Méthodes : Docker Compose vs installation manuelle
Configuration initiale (fichiers application.conf)
Sécurisation de base (HTTPS, reverse proxy, comptes)
Interface admin (UI/CLI/API)
Création des utilisateurs et gestion des rôles
Sauvegardes, logs, supervision

Gestion des alertes

Sources : SIEM, CTI, MISP, API, emails
Parsing et templates d’alerte
Fusion et corrélation automatique

Cases

Création manuelle et automatique de cas
Structure : tâches, observables, logs
Priorisation, tags, TLP, PAP, status

Collaboration

Travail en équipe sur un cas
Notifications internes
Dashboards en temps réel

Cortex et automatisation de la réponse

Rôle de Cortex dans l’enrichissement
Analyseurs vs Responders
Architecture et API
Configuration d’un analyseur (Docker, API keys)
Enchaînement automatique d’analyses
Automatiser les actions correctives
Bonnes pratiques d’orchestration

Exploitation avancée & bonnes pratiques SOC

Playbooks de classification
Analyse contextuelle automatisée
Scénarios d’incidents types
Mapping des observables aux TTPs
Recherches et visualisation des techniques
Détection et tracking de campagnes
Suivi des cas : durée de traitement, statut, types
Export CSV, API, reporting Markdown/HTML
Intégration avec Grafana, Elastic…

Sécurité, audit et conformité

RBAC (rôles, profils personnalisés)
SSO (SAML, OIDC), MFA
Logs d’audit
Gestion du chiffrement
Restrictions réseau, IP whitelisting
Sécurité applicative (CSP, sécurité API)
ISO 27001, SOC 2, RGPD
Confidentialité (TLP 2.0), accès aux logs
Retention et anonymisation

Personnalisation et intégrations

Modèles d’alertes, de cas, de tâches
Utilisation des macros et champs dynamiques
Génération de rapports automatisés
SIEM : Splunk, QRadar, Sentinel, ELK
EDR : Crowdstrike, SentinelOne, XDR
CTI : MISP, Anomali, ThreatConnect
Utilisation de l’API REST pour automatisation
Scripts Python (Hive4py)
Webhooks et connecteurs personnalisés

Déploiement Cloud & montée en charge

Présentation de l’offre SaaS de StrangeBee
Avantages : haute dispo, maintenance, certif SOC2
Accès via portail StrangeBee
Monosite vs multisite
Multi-tenant pour MSSP
Load balancing, cluster, PostgreSQL HA
Logs et métriques
Intégration Prometheus/Grafana
Alerting et gestion de la scalabilité

Labs pratiques

Mise en place d’un cas d’incident complet
Création d’alertes, enrichissement, réponse automatisée
Collaboration en équipe simulée

Pour aller plus loin

Formation Tracecat

Formation IBM QRadar SIEM

Formation Tines

Télécharger le plan du cours

Autour du sujet

Langues et Lieux disponibles

 Langues

Français
Anglais / English

 Lieux

France entière
- Paris
- Lille
- Reims
- Lyon
- Toulouse
- Bordeaux
- Montpellier
- Nice
- Sophia Antipolis
- Marseille
- Aix-en-Provence
- Nantes
- Rennes
- Strasbourg
- Grenoble
- Dijon
- Tours
- Saint-Étienne
- Toulon
- Angers
Belgique
- Bruxelles
- Liège
Suisse
- Genève
- Zurich
- Lausanne
Luxembourg

Témoignages

⭐⭐⭐⭐⭐ 4,8/5 sur Google My Business. Vous aussi, partagez votre expérience !

Afficher tous les témoignages