進階 Windows Enterprise 事件應變

這個為期五天的課程將教授事件應變負責人員進階調查技巧，協助辨識政府、金融及政治威脅組織的入侵活動，並界定其範圍。本課程包含一系列實作練習，讓學員探索所學的基礎知識及相關應用，直接在真實情境中運用各種技巧。

學員可以瞭解如何辨識、偵測和搜索進階攻擊手法，破解惡意軟體模糊處理，以及在傳統端點和雲端式基礎設施中大規模應用搜索技巧。課程中會探討過往和正在採取行動的攻擊者案例，以及防禦者在事件發生期間可使用的技巧，藉此降低機構組織可能遭受的損失。

必備條件：學生應具備充分的電腦和作業系統基礎知識。強烈建議學員應具備電腦程式設計基礎知識和 Windows Internals 經驗。此外也建議學員完成 Mandiant 的 Windows 企業事件應變和/或 Linux 企業事件應變課程。

• 使用 ATT&CK 架構協助機構完成策略性資安決策
• 事件應變程序步驟摘要
• 決定採用何種方式向主管階層和其他人員有效傳達事件資訊
• 展示對威脅發動者常用進階技巧的瞭解
• 探討面對進階 APT 威脅發動者時會遭遇，但少見較低層級組織使用的非傳統植入式部署技巧
• 辨識模糊處理的使用時機
• 摘要介紹 YARA，以及如何制定 YARA 規則
• 探索常見記憶體結構和常見記憶體攻擊方法的佈局
• 說明各項分析工具的優缺點
• 概略介紹可用證據來源、如何收集證據、常見調查情境，以及可用於資料分析和調查的工具
• 強調應付正在採取行動的攻擊者所需步調的差異，以及對機構與 IR 團隊協調工作的影響

這是一個內容緊湊的技術課程，旨在提供調查針對性攻擊的實作體驗，以及鑑別遭入侵系統所需的分析步驟。本課程的內容和講解速度適合具備資安營運、事件應變、鑑識分析、網路流量分析、記錄檔分析、資安評估和滲透測試等方面的背景，以及擔任安全架構和系統管理職務的學員。這個課程也非常適合 CIRT 管理/事件應變團隊，或職務上需要監督鑑識分析和其他調查工作的人員。

由講師講解的現場訓練課程

5 天 (現場授課)

一部具備網際網路連線和新式瀏覽器 (例如 Google Chrome) 的電腦。

MITRE ATT&CK 

• MITRE ATT&CK 架構 
• ATT&CK Navigator 

事件應變程序 

• 定義事件應變 
• NIST 事件應變程序簡介 
• 準備作業 
• 偵測與分析 
• 阻隔、清除及復原 
• 事件後活動 

通訊和進階事件處理 

• 準備作業 
• 事件發生期間 
• 事件後活動 
• 提示與秘訣 

進階技巧 

• DLL 劫持 
• 應用程式呼叫轉譯 
• COM 劫持 
• 擴充功能處理常式劫持 
• Windows Management Instrumentation (WMI) 
• Windows 事件記錄操縱 

進階植入 

• Internet Information Services (IIS) 模組 
• Exchange 傳輸代理程式 
• 遠端存取工具 

模糊處理 

• 模糊處理簡介 
• 指令碼式模糊處理 
• 模糊處理的編碼 
• 破解模糊處理 
• 及早偵測威脅 

使用 YARA 進行搜索 

• YARA 總覽 
• 執行 YARA 
• YARA 語法 
• YARA 語法條件 
• 建立規則 
• 模組與其他概念 
• 注意事項 

記憶體分析 

• 為何是記憶體 
• 取得記憶體 
• 記憶體結構簡介 
• 攻擊記憶體 
• 使用 Volatility 來分析記憶體 

擴充性與堆疊 

• 背景 
• 什麼是堆疊 
• 透過堆疊找出惡意軟體 

Cloud IR 簡介 

• 雲端運算簡介 
• AWS 
• Azure 
• Google Cloud 
• Cloud IR 方法 

正在採取行動的攻擊者 

• 調查步調 
• 阻隔、清除及存活 
• 憑證 
• 主動防禦