Respuesta a incidentes avanzados de Windows Enterprise

Este curso de cinco días de duración enseña técnicas de investigación avanzadas a los encargados de responder a incidentes para ayudar a identificar y examinar las intrusiones por parte de grupos de amenazas gubernamentales, financieras y políticas. El curso incluye una serie de ejercicios prácticos que permitirán al alumno explorar los aspectos básicos de lo que ha aprendido y ampliarlo aplicando técnicas directamente a situaciones del mundo real. 

Los alumnos pueden aprender a identificar, detectar y cazar técnicas avanzadas, a acabar con la ofuscación de malware y a aplicar técnicas de búsqueda a gran escala tanto en infraestructuras tradicionales de endpoints como en infraestructuras basadas en la nube. El curso trata escenarios y técnicas de atacantes antiguos y actuales que el defensor puede usar durante un incidente activo para mitigar las posibles pérdidas para la organización.

Requisitos previos: los alumnos deben poseer un excelente conocimiento de los conceptos básicos sobre informática y sistemas operativos. Se recomienda encarecidamente tener conocimientos sobre programación informática y conocimientos internos de Windows. También se recomienda completar los cursos de Mandiant de Respuesta a incidentes de Windows Enterprise o de Linux Enterprise.

• Utilizar el framework de ATT&CK para guiar las decisiones estratégicas de seguridad en la organización
• Resumir los pasos del proceso de respuesta a incidentes
• Determinar cómo comunicar eficazmente la información del incidente al equipo directivo y a otras personas
• Demostrar que se tienen conocimientos sobre las técnicas avanzadas que emplean los atacantes
• Hablar sobre las técnicas de despliegue de implantes no convencionales que encontramos cuando nos enfrentamos a amenazas persistentes avanzadas (APT), pero que rara vez se ven aprovechadas por grupos menos sofisticados
• Reconocer cuándo se está utilizando la ofuscación
• Resumir qué es YARA y cómo desarrollar una regla de YARA
• Descubrir el diseño de la estructura de memoria común y los métodos de ataque de memoria comunes
• Explica las ventajas y los inconvenientes de las diferentes herramientas de análisis
• Ofrece una descripción general de las fuentes de pruebas disponibles, cómo recopilar pruebas, situaciones de investigación habituales y herramientas disponibles para el análisis y la investigación de datos.
• Destacar la diferencia de tiempo requerida al tratar con atacantes en tiempo real y las implicaciones para la organización y la coordinación del equipo de respuesta a incidentes

Se trata de un curso técnico rápido y diseñado para ofrecer experiencia práctica en la investigación de ataques dirigidos y los pasos de análisis necesarios para clasificar los sistemas vulnerados. El contenido y el ritmo están destinados a alumnos con experiencia en operaciones de seguridad, respuesta a incidentes, análisis forense, análisis del tráfico de red, análisis de registros, evaluaciones de seguridad y pruebas de penetración, o incluso tareas de administración del sistema y arquitectura de la seguridad. También es adecuado para quienes gestionan equipos de respuesta a incidentes o respuesta a incidentes informáticos (CIRT) o para puestos que requieren la supervisión de los análisis forenses y otras tareas de investigación.

Formación presencial impartida por un instructor

5 días (formato presencial)

Un ordenador con conexión a Internet y un navegador moderno, como Google Chrome. 

MITRE ATT&CK 

• Framework de MITRE ATT&CK 
• ATT&CK Navigator 

Proceso de respuesta a incidentes 

• Definición de la respuesta a incidentes 
• Introducción al proceso de respuesta a incidentes del NIST 
• Preparación 
• Detección y análisis 
• Contención, erradicación y recuperación 
• Actividades posteriores a un incidente 

Comunicaciones y gestión avanzada de incidentes 

• Preparación 
• Durante el incidente 
• Actividad tras un incidente 
• Trucos y consejos 

Técnicas avanzadas 

• Interceptación de DLL 
• Shimming de aplicaciones 
• Interceptación de COM 
• Interceptación de controlador de extensiones 
• Instrumentación de gestión de Windows (WMI) 
• Manipulación del registro de eventos de Windows 

Implantes avanzados 

• Módulos de servicios de información de Internet (IIS) 
• Agentes de transporte de Exchange 
• Herramientas de acceso remoto 

Ofuscación 

• Introducción a la ofuscación 
• Ofuscación basada en secuencia de comandos 
• Ofuscación de codificación 
• Cómo evitar la ofuscación 
• Detección temprana 

Caza con YARA 

• Descripción general de YARA 
• Ejecución de YARA 
• Sintaxis de YARA 
• Condiciones de la sintaxis de YARA 
• Creación de una regla 
• Módulos y conceptos adicionales 
• Cuestiones importantes 

Análisis de memoria 

• Por qué la memoria 
• Adquisición de memoria 
• Introducción a las estructuras de memoria 
• Ataque a la memoria 
• Análisis de memoria con Volatility 

Escalabilidad y apilado 

• Segundo plano 
• Qué es el apilado 
• Apilar para encontrar el mal 

Introducción a la respuesta a incidentes de Cloud 

• Introducción al Cloud computing 
• AWS 
• Azure 
• Google Cloud 
• Metodología de respuesta a incidentes de Cloud 

Atacante en directo 

• Tempo de investigación 
• Contención, erradicación y vigencia 
• Credenciales 
• Defensa activa