高级企业突发事件响应

本课程为期五天，向一线突发事件响应人员讲授高级调查技术，以帮助识别和限定政府、金融和政治威胁团体入侵的范围。

本课程包含一系列实操练习，让学生能够探索所学知识的基础并加以拓展，直接将技术应用于现实场景。学生将学习如何识别、检测和寻找先进技术，打败恶意软件混淆战术，以及在传统端点和基于云的基础设施中大规模应用狩猎技术。

本课程涵盖历史和实时攻击者场景及技术，防御者可在活跃交火期间使用，以减少公司的潜在损失。

前提条件：学生应精通计算机和操作系统的基础知识。强烈建议您掌握计算机编程基础知识和 Windows 内部工作原理。还建议完成 Mandiant 的 Windows 企业突发事件响应和/或 Linux 企业突发事件响应课程。

• 使用 ATT&CK 框架来指导组织的战略安全决策
• 总结突发事件响应过程的步骤
• 确定如何有效地向高管和组织内的其他人员传达突发事件信息
• 展示对威胁行为者所用先进技术的理解
• 讨论非传统注入部署技术，我们在面对高级 APT 威胁行动者时会遇到这些技术，但很少被不太复杂的组织利用
• 识别何时使用混淆功能
• 总结 YARA 是什么以及如何制定 YARA 规则
• 了解常见内存结构的布局和常见内存攻击方法
• 说明不同分析工具的优缺点
• 概述可用的证据来源、如何收集证据、常见的调查场景，以及可用于数据分析和调查的工具
• 重点介绍应对实时攻击者时所需的节奏差异，以及对 IR 团队的组织和协调的影响

这是一门快节奏的技术课程，旨在提供调查目标攻击的实操经验，并提供对遭入侵系统进行分类所需的分析步骤。本课程的内容和学习节奏面向符合以下条件的学生：在安全运营、突发事件响应、取证分析、网络流量分析、日志分析、安全评估和渗透测试，甚至是安全架构和系统管理职责方面具有一定背景。本课程也非常适合管理 CIRT/突发事件响应团队的人员，或需要监督取证分析和其他调查任务的人员。

由讲师提供指导的线下培训

5 天（线下授课）

一台连接到互联网并安装了新版浏览器（例如 Google Chrome）的计算机。