Combined Windows-Linux Enterprise Incident Response

In diesem Intensivkurs werden grundlegende Untersuchungstechniken vermittelt, mit denen Sie auf die heutige Landschaft von Bedrohungsakteuren und Angriffsszenarien reagieren können.

Der Kurs basiert auf einer Reihe von praktischen Labs, in denen die Phasen eines gezielten Angriffs, wichtige Beweismittel und das Know-how für die forensische Analyse hervorgehoben werden. Die Studenten lernen, wie ein System schnell eingeordnet werden kann, um festzustellen, ob es manipuliert wurde, um Hinweise auf erste Angriffsvektoren zu finden, Persistenzmechanismen zu erkennen und Kompromittierungsindikatoren für die weitere Untersuchung eines Vorfalls zu entwickeln und vieles mehr.

Nach Abschluss dieses Kurses sollten die Lernenden Folgendes können:

• Den Prozess von Incident Response beschreiben, einschließlich der Bedrohungslandschaft, des Lebenszyklus der gezielten Angriffe, der von verschiedenen Hackergruppen verwendeten ersten Angriffsvektoren und der Phasen von Incident Response
• Systemtriage durchführen, um wichtige Fragen zu beantworten, was während eines Vorfalls im gesamten Unternehmen passiert ist
• Erkenntnisse anwenden, um Windows-Umgebungen (einschließlich Metadaten, Registry, Ereignisprotokolle, Dienste, Persistenzmechanismen und Ausführungsartefakte) proaktiv auf Anzeichen von Manipulationen zu untersuchen
• Kritische Beweisquellen identifizieren und verwenden, um ein manipuliertes Linux-System zu untersuchen und zu analysieren, einschließlich EXT3/EXT4-Dateisysteme, Syslog, Audit-Logs, Arbeitsspeicher, VPN und Webshells
• Gängige Linux-Anwendungen für Datenbanken und Webserver prüfen, darunter Oracle, MySQL, PostgreSQL, Apache und nginx
• Herausfinden, wie Angreifer in einer manipulierten Linux-Umgebung mithilfe von Daten wie Anmeldedaten, Anmeldungen, Remote-Befehlsausführung und Shell-Artefakten von System zu System gelangen können
• Webprotokolle analysieren, um gängige Angreifertechniken, einschließlich Verschleierungs- und Codierungsmethoden, zu erkennen und zu interpretieren
• Informationen zu laufenden Ermittlungen und Vorfällen verwalten und effektiv erfassen
• Die Rolle der Phase des Exports fehlender Daten bei einer Unternehmensuntersuchung verstehen
• Die Transparenz der Protokollierung verbessern, die Manipulation von Beweisen verhindern und die Angriffsfläche reduzieren, indem allgemeine Konfigurationsparameter und protokollierte Ereignisse identifiziert werden, die effektive Untersuchungen unterstützen
• Verstehen, wie nach Bedrohungen mithilfe von Threat Intelligence, Anomalieerkennung und Taktiken, Techniken und Verfahren (TTPs) bekannter Bedrohungsakteure gesucht wird

Dieser Kurs richtet sich an Teilnehmer mit Vorkenntnissen in den Bereichen Security Operations, Incident Response, forensische Analysen, Netzwerkverkehrsanalyse, Protokollanalyse, Sicherheitsbewertungen und Penetrationstests oder Aufgaben in der Sicherheitsarchitektur und Systemverwaltung. Es kann auch Personen helfen, die CIRT-/Incident Response-Teams verwalten oder in Rollen sind, die die Aufsicht über forensische Analysen und andere Untersuchungsaufgaben erfordern.

Präsenzkurs

5 Tage (Präsenzkurs)

Alle Studenten müssen einen eigenen Laptop mitbringen, der folgende Voraussetzungen erfüllt:

• Laptop mit installierter VMware-Software (VMware Player erfüllt die Anforderungen)
• Spezifikationen: Windows 7 oder höher bzw. MacOS 10.11 oder höher
• Mind. 16 GB Arbeitsspeicher
• Mind. Core i7 CPU
• Mind. 25 GB freier HDD-Speicherplatz