Resposta avançada a incidentes empresariais do Windows

Este curso de cinco dias ensina técnicas investigativas avançadas para responsáveis pela resposta a incidentes, ajudando-os a identificar e investigar intrusões por grupos de ameaças governamentais, financeiras e políticas. O curso inclui uma série de exercícios práticos que permitem que os alunos explorem os fundamentos do que aprenderam e os ampliem, aplicando técnicas diretamente a situações reais. 

Os alunos podem aprender como identificar, detectar e procurar técnicas avançadas, derrotar a ocultação de malware e aplicar técnicas de caça em escala na infraestrutura tradicional baseada em endpoint e nuvem. O curso aborda cenários e técnicas históricos e em tempo real de invasores que o defensor pode usar durante um incidente ativo para mitigar possíveis perdas para a organização.

Pré-requisitos: os alunos devem ter um excelente conhecimento dos princípios básicos de computadores e sistemas operacionais. É altamente recomendável ter experiência com fundamentos de programação de computadores e componentes internos do Windows. Também é recomendada a conclusão dos cursos Windows Enterprise Incident Response e/ou Linux Enterprise Incident Response.

• Usar o framework ATT&CK para orientar as decisões estratégicas de segurança na organização
• Resumir as etapas do processo de resposta a incidentes
• Determinar como comunicar de maneira eficaz as informações sobre o incidente à liderança e a outros
• Demonstrar conhecimento sobre técnicas avançadas usadas por agentes de ameaças
• Discutir técnicas não convencionais de implantação de implantes que encontramos ao enfrentar agentes avançados de ameaças APT, mas raramente são usadas por grupos menos sofisticados
• Reconhecer quando a ofuscação está em uso
• Resumir o que é YARA e como desenvolver uma regra YARA
• Descubra o layout de uma estrutura de memória comum e métodos comuns de ataque à memória
• Explicar os prós e contras das diferentes ferramentas de análise
• Fornecer uma visão geral das fontes de evidências disponíveis, como coletar evidências, cenários investigativos comuns e ferramentas disponíveis para análise e investigação de dados
• Destaque a diferença no ritmo necessário ao lidar com atacantes em tempo real e as implicações para a organização e coordenação da equipe de Resposta a Incidentes

Este é um curso técnico de ritmo acelerado, projetado para proporcionar experiência prática na investigação de ataques direcionados e as etapas de análise necessárias para fazer a triagem de sistemas comprometidos. O conteúdo e o ritmo são destinados a estudantes com alguma formação em operações de segurança, resposta a incidentes, análise forense, análise de tráfego de rede, análise de registros, avaliações de segurança e testes de penetração ou até mesmo trabalhos de arquitetura de segurança e administração do sistema. Ele também é adequado para quem gerencia CIRT/equipes de resposta a incidentes ou em funções que exigem supervisão de análise forense e outras tarefas investigativas.

Treinamento presencial com instrutor

5 dias (entrega presencial)

Um computador com conexão de Internet e um navegador mais recente (como o Google Chrome). 

MITRE ATT&CK 

• Framework do MITRE ATT&CK 
• Navegador ATT&CK 

Processo de resposta a incidentes 

• Como definir resposta a incidentes 
• Introdução ao processo de resposta a incidentes do NIST 
• Preparação 
• Detecção e análise 
• Contenção, erradicação e recuperação 
• Atividades pós-Incidente 

Comunicações e tratamento avançado de incidentes 

• Preparação 
• Durante o incidente 
• Atividade pós-incidente 
• Dicas e sugestões 

Técnicas avançadas 

• Sequestro de DLL 
• Shimming de aplicativo 
• Sequestro COM 
• Sequestro do gerenciador de extensão 
• Instrumentação de Gerenciamento do Windows (WMI, na sigla em inglês) 
• Manipulação do log de eventos do Windows 

Implantes avançados 

• Módulos dos Serviços de Informações da Internet (IIS, na sigla em inglês) 
• Agentes de transporte do Exchange 
• Ferramentas de acesso remoto 

Ofuscação 

• Introdução à ofuscação 
• Ofuscação baseada em script 
• Ofuscação de codificação 
• Como vencer a ofuscação 
• Detecção precoce 

Caça com YARA 

• Informações gerais do YARA 
• Como executar YARA 
• Sintaxe de YARA 
• Condições de sintaxe YARA 
• Como criar uma regra 
• Módulos e outros conceitos 
• Considerações 

Análise de memória 

• Por que usar a memória 
• Como adquirir memória 
• Introdução às estruturas de memória 
• Ataque à memória 
• Análise de memória com volatilidade 

Escalonabilidade e empilhamento 

• Contexto 
• O que é o empilhamento 
• Empilhamento para encontrar o mal 

Introdução à RI na nuvem 

• Introdução à computação em nuvem 
• AWS 
• Azure 
• Google Cloud 
• Metodologia de RI da nuvem 

Atacante ao vivo 

• Tempo da investigação 
• Contenção, erradicação e sobrevivência 
• Credenciais 
• Defesa ativa