Risposta agli incidenti avanzata di Windows Enterprise

Questo corso di cinque giorni insegna tecniche investigative avanzate agli operatori nel campo della risposta agli incidenti per aiutare a identificare e definire le intrusioni da parte di gruppi malintenzionati governativi, finanziari e politici. Il corso comprende una serie di esercitazioni pratiche che consentiranno allo studente di esplorare le nozioni di base di ciò che ha appreso e di approfondire le conoscenze, applicando le tecniche direttamente a scenari del mondo reale. 

Gli studenti possono imparare a identificare, rilevare e ricercare tecniche avanzate, contrastare l'offuscamento del malware e applicare tecniche di ricerca su larga scala sia attraverso gli endpoint tradizionali che nell'infrastruttura basata su cloud. Il corso tratta scenari e tecniche di malintenzionati storiche e in tempo reale che il difensore può utilizzare durante un incidente attivo per mitigare le potenziali perdite per l’organizzazione.

Prerequisiti: gli studenti devono possedere un'ottima conoscenza delle nozioni di base su computer e sistema operativo. È fortemente consigliato possedere nozioni di base di programmazione informatica ed esperienza con i componenti interni di Windows. È inoltre consigliato il completamento dei corsi Mandiant Risposta agli incidenti di Windows Enterprise e/o Risposta agli incidenti di Linux Enterprise.

• Utilizzare il framework ATT&CK per prendere decisioni di sicurezza strategiche per l’organizzazione
• Riepilogare i passaggi del processo di risposta agli incidenti
• Determinare come comunicare in modo efficace le informazioni sugli incidenti ai dirigenti e agli altri
• Dimostrare la comprensione delle tecniche avanzate utilizzate dai soggetti malintenzionati
• Discutere di tecniche non convenzionali di deployment degli impianti che rileviamo quando abbiamo a che fare con malintenzionati APT avanzati ma che raramente vengono usate da gruppi meno sofisticati
• Riconoscere quando è in uso l'offuscamento
• Riepilogare cos'è lo strumento YARA e come sviluppare una regola YARA
• Scoprire il layout di una struttura di memoria comune e dei metodi comuni di attacco alla memoria
• Spiegare i pro e i contro dei diversi strumenti di analisi
• Fornire una panoramica delle fonti di prove disponibili, le modalità di raccolta delle prove, gli scenari investigativi comuni e gli strumenti disponibili per l’analisi dei dati e l’indagine
• Evidenziare la differenza di ritmo richiesta quando si affrontano i malintenzionati in tempo reale e le implicazioni per l’organizzazione e il coordinamento del team IR

Si tratta di un corso tecnico dal ritmo incalzante, concepito per fornire un’esperienza pratica dell'indagine degli attacchi mirati e delle procedure di analisi necessarie per individuare i sistemi compromessi. I contenuti e il ritmo sono destinati a studenti con una certa formazione in operazioni di sicurezza, risposta agli incidenti, analisi forense, analisi del traffico di rete, analisi dei log, valutazioni di sicurezza e test di penetrazione o anche responsabilità di architettura della sicurezza e amministrazione di sistema. Inoltre, è adatto a chi gestisce team CIRT/di risposta agli incidenti o a ruoli che richiedono la supervisione dell’analisi forense e di altre attività investigative.

Formazione di persona con istruttore

5 giorni (consegna di persona)

Un computer con una connessione a internet e un browser moderno (ad esempio Google Chrome). 

MITRE ATT&CK 

• Framework MITRE ATT&CK 
• Navigatore ATT&CK 

Processo di risposta agli incidenti 

• Definizione della risposta agli incidenti 
• Introduzione al processo di risposta agli incidenti NIST 
• Preparazione 
• Rilevamento e analisi 
• Contenimento, eliminazione e recupero 
• Attività post-incidente 

Comunicazioni e gestione avanzata degli incidenti 

• Preparazione 
• Durante l'incidente 
• Attività post-incidente 
• Suggerimenti utili 

Tecniche avanzate 

• Compromissione DLL 
• Shim dell’applicazione 
• Compromissione COM 
• Compromissione del gestore delle estensioni 
• Windows Management Instrumentation (WMI) 
• Manipolazione del log eventi di Windows 

Impianti avanzati 

• Moduli di Internet Information Services (IIS) 
• Agenti di trasporto di Exchange 
• Strumenti per l'accesso remoto 

Offuscamento 

• Introduzione all'offuscamento 
• Offuscamento basato su script 
• Codifica dell'offuscamento 
• Eliminazione dell'offuscamento 
• Identificazione precoce 

Ricerca con YARA 

• Panoramica di YARA 
• Esecuzione di YARA 
• Sintassi YARA 
• Condizioni di sintassi YARA 
• Creazione di una regola 
• Moduli e concetti aggiuntivi 
• Considerazioni 

Analisi della memoria 

• Perché la memoria 
• Acquisizione di memoria 
• Introduzione alle strutture della memoria 
• Attacco alla memoria 
• Analisi della memoria con la volatilità 

Scalabilità e impilamento 

• Background 
• Che cos'è l'impilamento 
• Impilare per trovare il problema 

Introduzione a Cloud IR 

• Introduzione al cloud computing 
• AWS 
• Azure 
• Google Cloud 
• Metodologia Cloud IR 

Malintenzionato in tempo reale 

• Ritmo dell'indagine 
• Contenimento, eliminazione e sopravvivenza 
• Credenziali 
• Difesa attiva