BTL1 (Blue Team Level 1)

Blue Team

La certification BTL1, proposée par Security Blue Team, constitue une première étape essentielle pour toute personne souhaitant se lancer dans le domaine de la cybersécurité défensive.

La certification BTL1 permet de développer un socle de compétences solides et directement applicables dans un environnement de sécurité opérationnelle (SOC). Elle est idéale pour celles et ceux qui souhaitent comprendre comment protéger un système d'information, détecter les menaces et répondre efficacement aux incidents.

Contrairement à des formations purement théoriques, la BTL1 s’appuie sur un examen pratique de 24 heures, durant lequel le candidat est confronté à des scénarios réalistes d’incidents de sécurité. Lien vers le site : Certification BLT1

Pour s'entraîner, je vous conseille de vous inscrire sur ce site, qui est le site pour s'entraîner à cette certification, sur lequel vous trouverez quelques labs gratuits intéressants. Lien vers le site : BTL0

La certification couvre les 6 domaines suivants :

  • Principes fondamentaux de la sĂ©curitĂ© (Security fundamentals)

  • Analyse du phishing (Phishing analysis)

  • Renseignements sur les menaces (Threat intelligence)

  • Investigation numĂ©rique (Digital forensics)

  • Surveillance des Ă©vĂ©nements de sĂ©curitĂ© (SIEM)

  • RĂ©ponse aux incidents (Incident response)

Elle se compose de 315 topics, 32 quizz et 24 labs pratiques, permettant d’allier théorie et mise en situation concrète pour préparer efficacement l’examen.

Avertissement : Les contenus des cours de la certification BTL1 sont protégés par les conditions générales de Security Blue Team. Il est interdit de les partager. Ce GitBook ne contient donc que des informations accessibles gratuitement sur les modules BTL0 et la démo BTL1.

Principes fondamentaux de la sécurité (Security fundamentals)

Ce domaine pose les bases de la cybersécurité : compréhension des contrôles de sécurité, notions essentielles sur les réseaux et gestion des risques. Il constitue un socle indispensable pour aborder les autres compétences de la certification.

Analyse du phishing (Phishing analysis)

Ce module apprend à reconnaître et analyser les attaques par phishing et ingénierie sociale. L’objectif est de savoir identifier les e-mails suspects, collecter les artefacts pertinents et proposer des contre-mesures adaptées.

Les points fondamentaux Ă  controler dans les e-mails sont :

  • VĂ©rifier l'adresse de l'expĂ©diteur

  • VĂ©rifier les liens suspects

  • VĂ©rifier les pièces jointes

  • Ce mĂ©fier de l'urgence

Effectuer un rapport sur l'incident et les actions menée : -

-

-

Renseignements sur les menaces (Threat intelligence)

Ce domaine explore le rôle du Threat Intelligence dans la défense d’un système d’information. Il vise à comprendre les indicateurs de compromission (IOC), les techniques et procédures utilisées par les attaquants, et comment exploiter ces données pour renforcer la sécurité..

Windows Investigations : Artifacts :

  • LNK Files (.lnk)

    • C:\Users\$USER$\AppData\Roaming\Microsoft\Windows\Recent

  • Prefetch Files (.pf)

    • C:\Windows\Prefetch

  • Jump List Files (.automaticDestination-ms et .customDestination-ms)

    • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

    • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

Les bases de Volatility :

Investigation numérique (Digital forensics)

Ici, vous apprendrez les principes de l’investigation numérique, de la collecte d’artefacts à l’analyse des systèmes Windows, Linux et navigateurs. L’accent est mis sur la préservation de l’intégrité des preuves en vue d’un usage légal.

Surveillance des événements de sécurité (SIEM)

Ce module initie à l’utilisation d’une plateforme SIEM pour la détection et l’analyse des incidents. Vous découvrirez comment exploiter les journaux, corréler les événements et produire des rapports pertinents.

Splunk

RĂ©ponse aux incidents (Incident response)

Ce module détaille les étapes de gestion d’un incident selon le framework NIST : préparation, détection, confinement, éradication, restauration et retour d’expérience. Il enseigne à réagir efficacement face à une menace et à en tirer des leçons pour l’avenir.

Wireshark

Mitre Att&ck

Mis Ă  jour