Advanced Windows Enterprise Incident Response（高级 Windows 企业突发事件响应）

本课程为期五天，向突发事件响应人员讲授高级调查技术，帮助识别政府、金融和政治威胁团伙的入侵并限定其范围。本课程包含一系列实操练习，让学生可以探索所学知识的基础知识，并进一步进行扩展，从而直接将技巧运用到实际场景中。

学生可以学习如何识别、检测和寻找先进技术，打败恶意软件混淆战术，以及在传统端点和基于云的基础设施中大规模应用狩猎技术。本课程涵盖历史和实时攻击者场景及技术，防御者可在活跃突发事件期间使用，以减少组织的潜在损失。

前提条件：学生应具备丰富的计算机和操作系统基础知识。强烈建议您掌握计算机编程基础知识和 Windows 内部工作原理。我们还建议您完成 Mandiant 的 Windows Enterprise Incident Response（Windows 企业突发事件响应）和/或 Linux Enterprise Incident Response（Linux 企业突发事件响应）课程。

• 使用 ATT&CK 框架为组织制定战略安全决策
• 总结突发事件响应流程的步骤
• 确定如何有效地向高管和其他人员传达突发事件信息
• 展示对威胁行为者所用先进技术的理解
• 讨论非传统注入部署技术，我们在面对高级 APT 威胁行动者时会遇到这些技术，但很少被不太复杂的组织利用
• 识别混淆功能的使用情形
• 总结什么是 YARA 以及如何制定 YARA 规则
• 探索常见内存结构的布局和常见内存攻击方法
• 说明不同分析工具的优缺点
• 概述可用的证据来源、如何收集证据、常见的调查场景以及可用于数据分析和调查的工具
• 重点介绍应对实时攻击者时所需的节奏差异，以及对 IR 团队的组织和协调的影响

这是一门快节奏的技术课程，旨在提供调查目标攻击的实操经验，并提供对遭入侵系统进行分类所需的分析步骤。本课程的内容和学习节奏面向符合以下条件的学生：在安全运营、突发事件响应、取证分析、网络流量分析、日志分析、安全评估和渗透测试，甚至是安全架构和系统管理职责方面具有一定背景。本课程也非常适合管理 CIRT/突发事件响应团队的人员，或需要监督取证分析和其他调查任务的人员。

由讲师提供指导的线下培训

5 天（线下授课）

一台连接到互联网并安装了新版浏览器（例如 Google Chrome）的计算机。

MITRE ATT&CK 

• MITRE ATT&CK 框架 
• ATT&CK 导航器 

突发事件响应流程 

• 定义突发事件响应 
• NIST 突发事件响应流程简介 
• 准备工作 
• 检测和分析 
• 遏制、根除和恢复 
• 突发事件后的活动 

通信和高级突发事件处理 

• 准备工作 
• 突发事件期间 
• 突发事件后的活动 
• 提示和技巧

高级技术 

• DLL 劫持 
• 应用匀场 
• COM 劫持 
• 扩展处理程序劫持 
• Windows Management Instrumentation (WMI) 
• Windows 事件日志操作 

高级注入 

• 互联网信息服务 (IIS) 模块 
• Exchange 传输代理 
• 远程访问工具 

混淆 

• 混淆简介 
• 基于脚本的混淆 
• 编码混淆 
• 击败混淆 
• 早期检测 

使用 YARA 搜寻 

• YARA 概览 
• 运行 YARA 
• YARA 语法 
• YARA 语法条件 
• 制定规则 
• 模块和其他概念 
• 注意事项 

内存分析 

• 为何选择内存 
• 获取内存 
• 内存结构简介 
• 攻击内存 
• 分析内存的波动性 

可伸缩性和堆叠 

• 背景 
• 什么是堆叠 
• 堆叠以寻找邪恶 

Cloud IR 简介 

• 云计算简介 
• AWS 
• Azure 
• Google Cloud 
• Cloud IR 方法 

实时攻击者 

• 调查节奏 
• 遏制、根除和生存 
• 凭据
• 主动防御