Advanced Windows Enterprise Incident Response

Este curso de cinco días enseña técnicas de investigación avanzadas a los responsables de la respuesta ante incidentes para ayudar a identificar y determinar el alcance de las intrusiones por parte de grupos de amenazas gubernamentales, financieras y políticas. El curso incluye una serie de ejercicios prácticos que le permitirán a los alumnos explorar los fundamentos de lo aprendido y ampliarlos, aplicando técnicas directamente a escenarios del mundo real. 

Los estudiantes pueden aprender a identificar, detectar y buscar técnicas avanzadas, vencer la ofuscación de software malicioso y aplicar técnicas de cacería a escala en el endpoint tradicional y la infraestructura basada en la nube. El curso abarca escenarios y técnicas históricos y reales de atacantes que el defensor puede usar durante un incidente activo para mitigar posibles pérdidas para la organización.

Requisitos previos: Los estudiantes deben poseer excelentes conocimientos sobre los aspectos básicos de la informática y el sistema operativo. Se recomienda tener experiencia en los Conceptos básicos de programación informática y el funcionamiento interno de Windows. También se recomienda completar los cursos de Windows Enterprise Incident Response o Linux Enterprise Incident Response de Mandiant.

• Use el marco ATT&CK para guiar las decisiones de seguridad estratégicas para la organización
• Resumir los pasos del proceso de respuesta ante incidentes
• Determine cómo comunicar de manera efectiva la información del incidente a los directivos y a otras personas
• Demostrar comprensión sobre las técnicas avanzadas usadas por los perpetradores
• Analizar las técnicas de implementación de implantes no convencionales que encontramos cuando se enfrentan a perpetradores de APT avanzados, pero que rara vez son aprovechadas por grupos menos sofisticados
• Reconocer cuándo se usa la ofuscación
• Resumir qué es YARA y cómo desarrollar una regla YARA
• Descubre el diseño de la estructura de memoria común y los métodos de ataque de memoria comunes
• Explicar las ventajas y desventajas de las distintas herramientas de análisis
• Proporcionar una descripción general de las fuentes de evidencia disponibles, cómo recopilar pruebas, escenarios de investigación comunes y herramientas disponibles para el análisis y la investigación de datos
• Destacar la diferencia en el ritmo requerido al tratar con atacantes reales y las implicaciones para la organización y la coordinación del equipo de respuesta ante incidentes

Se trata de un curso técnico acelerado diseñado para proporcionar experiencia práctica en la investigación de ataques individualizados y los pasos de análisis necesarios para clasificar los sistemas comprometidos. El contenido y el ritmo están dirigidos a estudiantes con experiencia en operaciones de seguridad, respuesta ante incidentes, análisis forense, análisis de tráfico de red, análisis de registros, evaluaciones de seguridad y pruebas de penetración, o incluso tareas de administración de sistemas y arquitectura de seguridad. También es adecuado para quienes administran equipos de respuesta ante incidentes o CIRT, o en roles que requieren la supervisión del análisis forense y otras tareas de investigación.

Capacitación presencial dictada por un instructor

5 días (entrega en persona)

Una computadora con conexión a Internet y un navegador actualizado (como Google Chrome). 

MITRE ATT&CK 

• Framework de MITRE ATT&CK 
• Navegador ATT&CK 

Proceso de respuesta ante incidentes 

• Definición de respuesta ante incidentes 
• Introducción al proceso de respuesta ante incidentes del NIST 
• Preparación 
• Detección y análisis 
• Contención, eliminación y recuperación 
• Actividades posteriores al incidente 

Comunicaciones y manejo avanzado de incidentes 

• Preparación 
• Durante el incidente 
• Actividad posterior al incidente 
• Sugerencias y trucos 

Técnicas avanzadas 

• Secuestro de DLL 
• Suplementación de aplicación 
• Secuestro de COM 
• Secuestro del controlador de extensiones 
• Instrumentación de administración de Windows (WMI) 
• Manipulación de registros de eventos de Windows 

Implantes avanzados 

• Módulos de Internet Information Services (IIS) 
• Agentes de transporte de Exchange 
• Herramientas remotas de acceso 

Ofuscación 

• Introducción a la ofuscación 
• Confusión basada en secuencias de comandos 
• Confusión de codificación 
• Cómo vencer la confusión 
• Detección temprana 

Cacería con YARA 

• Descripción general de YARA 
• Ejecuta YARA 
• Sintaxis de YARA 
• Condiciones de sintaxis de YARA 
• Crea una regla 
• Módulos y conceptos adicionales 
• Consideraciones 

Análisis de memoria 

• Por qué elegir la memoria 
• Adquirir memoria 
• Introducción a las estructuras de memoria 
• Ataque a la memoria 
• Análisis de la memoria con volatilidad 

Escalabilidad y apilamiento 

• Formación 
• ¿Qué es el apilado? 
• Apilamiento para encontrar el mal 

Introducción a Cloud IR 

• Introducción a la computación en la nube 
• AWS 
• Azure 
• Google Cloud 
• Metodología de IR de Cloud 

Atacante en vivo 

• Ritmo de investigación 
• Contención, erradicación y supervivencia 
• Credenciales
• Defensa activa