Formation Surveiller et analyser ses journaux systèmes avec l’IA (Wazuh / SIEM / LLM)
Public : Administrateurs systèmes et réseaux - Analystes sécurité, équipes SOC / Blue Team - Responsables infrastructure souhaitant améliorer le traitement des alertes
Durée : 2 jour(s)
Syllabus de la formation Surveiller et analyser ses journaux systèmes avec l’IA (Wazuh / SIEM / LLM)
Pré-requis : Connaissances de base en administration systèmes (Linux ou Windows) - Notions sur les journaux systèmes, la supervision et la sécurité (logs, alertes, incidents) - Premières notions sur l’IA générative et les LLM appréciées mais non indispensables
Objectifs : Comprendre comment l’IA peut aider à analyser des volumes importants de journaux systèmes et de sécurité - Savoir connecter un SIEM / Wazuh à un moteur IA pour qualifier et prioriser les alertes - Être capable de générer des synthèses, scénarios de remédiation et rapports à partir des logs
Sanction : Attestation de fin de formation mentionnant le résultat des acquis
Référence : INT102823-F
Accessibilité : Si vous êtes en situation de handicap, nous sommes en mesure de vous accueillir, n'hésitez pas à nous contacter à referenthandicap@dawan.fr, nous étudierons ensemble vos besoins
Contact : commercial@dawan.fr
Tarif présentiel
1 875,00 € HT
- PC et logiciels fournis
- Paiement à 30 jours
Tarif distanciel
1 500,00 € HT
- PC et logiciels à distance fournis sur demande
- Paiement à 30 jours
Programme Surveiller et analyser ses journaux systèmes avec l’IA (Wazuh / SIEM / LLM)
Rappels sur les journaux systèmes, la supervision et le rôle du SIEM
Typologie des journaux : système, application, réseau, sécurité
Centralisation des logs : syslog, agents, collecteurs, corrélation d’événements
Rôle d’un SIEM ou de Wazuh dans la détection d’incidents
Limites des approches classiques : bruit d’alerte, volumétrie, temps d’analyse
Atelier pratique : cartographier ses principales sources de logs et les scénarios d’exploitation associés
Principes et apports des LLM pour l’analyse de logs
Rappel sur les modèles de langage (LLM) et leurs capacités d’analyse textuelle
Cas d’usage typiques : classification, résumé, extraction d’éléments clés, génération d’hypothèses
Forces et limites de l’IA sur les journaux systèmes et de sécurité
Précautions : hallucinations, données sensibles, auditabilité des décisions
Atelier pratique : faire analyser quelques extraits de journaux “à la main” puis via un LLM et comparer les résultats
Connexion d’un SIEM / Wazuh à un moteur IA
Panorama des options : API cloud, modèles open source, Ollama, connecteurs existants
Architecture type : pipeline de logs vers un service d’analyse IA
Formats d’échange : JSON, champs clés, filtrage et anonymisation en amont
Stratégies d’échantillonnage : événements critiques, agrégation par type ou fenêtre de temps
Atelier pratique : concevoir un flux d’export de journaux Wazuh vers un service IA (schéma et pseudo-code)
Concevoir des prompts et modèles de réponses adaptés à la sécurité
Écrire des prompts pour qualifier une alerte (gravité, impact, contexte probable)
Demander au modèle des scénarios de remédiation et des vérifications complémentaires
Standardiser les formats de réponse pour faciliter l’intégration (JSON, sections prévisibles)
Exemples de prompts pour la priorisation, le tri des faux positifs et la génération de rapports
Atelier pratique : créer une bibliothèque de prompts pour différents types d’événements de sécurité
Générer des synthèses, rapports et tableaux de bord assistés par l’IA
Transformer un flot brut de journaux en synthèse pour un administrateur ou un RSSI
Mettre en forme des rapports périodiques (journée, semaine, incident majeur)
Exploiter les sorties IA dans des tableaux de bord existants (SIEM, Grafana, outils internes)
Capitaliser sur les analyses pour améliorer les règles de détection
Atelier pratique : générer une synthèse d’incident et un mini compte rendu pour un comité sécurité
Aspects sécurité, confidentialité et gouvernance
Que peut-on envoyer ou non à un moteur IA selon la sensibilité des logs
Gestion de la journalisation, de la traçabilité et des responsabilités
Bonnes pratiques : anonymisation, environnements de test, charte d’usage de l’IA en sécurité
Préparer l’industrialisation : documentation, procédures, rôles et limites d’automatisation
Atelier pratique : définir un cadre d’usage de l’IA sur les journaux systèmes dans son organisation
Délai d'accès :
Le délai d’accès à la formation certifiante est de 7 jours après validation du dossier. Pour un financement CPF, la validation doit être faite 11 jours ouvrés avant le début. Hors CPF, délai de 1 à 3 semaines selon les sessions.
Méthodes mobilisées :
- Un formateur expert ayant suivi une formation à la pédagogie et ayant au minimum 3 années d'expériences dans le domaine visé
- Matériel pour les formations présentielles informatiques : un PC par participant
- Un support et les exercices du cours pour chaque stagiaire
- Synchrone en présentiel ou distanciel. Plateforme utilisée : Microsoft Teams. Pour le distanciel : diagnostic technique avec les stagiaires pour tester la connexion et les modalités pratiques.
- Méthodologie basée sur l'Active Learning (75% de pratique minimum) et un programme pédagogique riche et interactif :
- Expositive : Apport de contenu théorique structuré pour consolider vos connaissances.
- Interrogative : Moments de réflexion pour questionner et approfondir vos pratiques.
- Démonstrative : Exercices pratiques pour illustrer les concepts clés.
- Active : Ateliers d'entraînement pour une mise en application immédiate.
- Expérimentale : Études de cas concrets pour ancrer les apprentissages dans la réalité.
- Collaborative : Espaces de partage et d'échange d'expériences pour enrichir la formation.
- Un format conçu pour favoriser l'engagement, la pratique et l'impact durable dans vos activités professionnelles.
Méthodes d'évaluation :
Les évaluations en cours de formations sont réalisées par les ateliers de mise en pratique et les échanges avec les formateurs.
Un espace apprenant dédié moncompte.dawan.fr :
- Informations relatives à la ou aux futures formations (plan, syllabus et éventuellement informations relatives à la certification)
- Positionnement à l'entrée et à la sortie de la formation
- Définition des besoins et attentes par l'apprenant en amont de la formation
- Émargement en ligne
- Évaluation à chaud
- Évaluation à froid
- Attestation de formation
- Boissons offertes pendant les pauses en inter-entreprises
- Salles lumineuses et locaux facilement accessibles
- Certification CPF quand formation éligible
Suite de parcours et formations associées
- Programme Déployer Ollama et des modèles IA open source (Mistral…) - 2 jour(s)
- Programme Surveiller et analyser ses journaux systèmes avec l’IA (Wazuh / SIEM / LLM) - 2 jour(s)
- Programme Automatiser l’administration système avec l’IA (Bash, PowerShell, Ansible) - 2 jour(s)
- Programme Mettre en place un chatbot interne pour le support IT - 2 jour(s)
- Programme Construire une base documentaire technique augmentée par l’IA (RAG sur runbooks et procédures) - 2 jour(s)
Pour suivre une session à distance depuis l'un de nos centres, contactez-nous.
| Lieu | Date | Actions |
|---|---|---|
| Distance | Du 29/06/2026 au 30/06/2026 | S'inscrire |
| Distance | Du 31/08/2026 au 01/09/2026 | S'inscrire |
| Distance | Du 30/11/2026 au 01/12/2026 | S'inscrire |