Advanced Enterprise Incident Response

In diesem fünftägigen Kurs werden Mitarbeitern, die an vorderster Front auf Vorfälle reagieren, fortschrittliche Untersuchungstechniken vermittelt, mit denen sie Angriffsversuche durch staatliche, finanzielle und politische Bedrohungsgruppen erkennen und begrenzen können. 

Der Kurs umfasst eine Reihe von praktischen Übungen, mit denen die Teilnehmer die Grundlagen des Gelernten erkunden und vertiefen können, indem sie die Techniken direkt auf reale Szenarien anwenden. Die Teilnehmer lernen, wie sie fortgeschrittene Techniken identifizieren, erkennen und suchen, und dabei Verschleierung von Malware bekämpfen und Bedrohungssuchtechniken sowohl auf herkömmlichen Endpunkten als auch in der cloudbasierten Infrastruktur anwenden.

Der Kurs behandelt historische und aktuelle Angriffsszenarien sowie Techniken, die Cybersicherheitsteams während eines Angriffs einsetzen können, um mögliche Verluste für das Unternehmen zu minimieren.

Voraussetzungen: Teilnehmer sollten über hervorragende Kenntnisse bezüglich Computern und Betriebssystemen verfügen. Es werden die Grundlagen der Computerprogrammierung und Erfahrung mit Windows-Interna dringend empfohlen. Außerdem empfiehlt es sich, den Mandiant-Kurs „Windows Enterprise Incident Response“ und/oder „Linux Enterprise Incident Response“ zu absolvieren.

• Das ATT&CK-Framework für strategische Sicherheitsentscheidungen im Unternehmen nutzen
• Schritte des Incident-Response-Prozesses zusammenfassen
• Bestimmen, wie Sie Informationen zu Vorfällen effektiv an die Unternehmensleitung und andere Personen innerhalb Ihres Unternehmens kommunizieren
• Verständnis für die fortschrittlichen Techniken, die von Bedrohungsakteuren verwendet werden, demonstrieren
• unkonventionelle Implantierungstechniken besprechen, die wir bei fortgeschrittenen APT-Angriffsakteuren beobachten, aber selten bei weniger ausgefeilten Gruppen
• Erkennen, wenn Verschleierung verwendet wird
• Kurz zusammenfassen, was YARA ist und wie man eine YARA-Regel erstellt
• Layout der gängigen Speicherstruktur und gängige Speicherangriffsmethoden entdecken
• Die Vor- und Nachteile verschiedener Analysetools erklären
• Überblick über die verfügbaren Beweisquellen geben sowie die Möglichkeiten zur Beweiserhebung, häufige Ermittlungsszenarien und verfügbare Tools für die Datenanalyse und -ermittlung
• Das unterschiedliche Tempo hervorheben, das im Umgang mit Live-Angreifern erforderlich ist, und die Auswirkungen auf die Organisation und Koordination des IR-Teams.

In diesem schnellen technischen Kurs werden praktische Erfahrungen zur Untersuchung gezielter Angriffe und der Analyseschritte zum Erkennen gehackter Systeme vermittelt. Die Inhalte und das Tempo sind für Schüler und Studenten gedacht, die etwas Erfahrung in den Bereichen Sicherheitsabläufe, Reaktionen auf Vorfälle, forensische Analysen, Analyse des Netzwerkverkehrs, Protokollanalyse, Sicherheitsbewertungen und Pentests oder sogar in den Bereichen Sicherheitsarchitektur und Systemverwaltung haben. Er eignet sich auch gut für Personen, die CIRT-/Incident-Response-Teams verwalten, oder für Rollen, die die Aufsicht über forensische Analysen und andere Untersuchungsaufgaben erfordern.

Präsenzkurs mit Kursleiter

5 Tage (Präsenzkurs)

Einen Computer mit Internetverbindung und einen modernen Browser (z. B. Google Chrome).