Combined Windows-Linux Enterprise Incident Response

Este curso intensivo está diseñado para enseñar las técnicas de investigación fundamentales para ayudar a responder al panorama actual de perpetradores y escenarios de intrusión.

El curso se basa en una serie de laboratorios prácticos que destacan las fases de un ataque selectivo, fuentes clave de evidencia y conocimientos de análisis forense para analizarlos. Los estudiantes aprenderán a realizar una evaluación rápida de un sistema para determinar si está comprometido, descubrir evidencia de vectores iniciales de ataque, reconocer mecanismos de persistencia, desarrollar indicadores de riesgo para ampliar el alcance de un incidente y más.

Después de completar este curso, los estudiantes deberían poder hacer lo siguiente:

• Describir el proceso de respuesta ante incidentes, incluido el panorama de amenazas, el ciclo de vida del ataque específico, los vectores del ataque inicial utilizados por diferentes perpetradores y las fases de un proceso de respuesta ante incidentes
• Realizar una evaluación del sistema para responder preguntas clave sobre lo que sucedió en toda la empresa durante un incidente
• Aplique las lecciones aprendidas para investigar de forma proactiva un entorno de Windows (incluidos los metadatos, el registro, los registros de eventos, los servicios, los mecanismos de persistencia y los artefactos de ejecución) en busca de indicios de vulneración
• Identificar y utilizar fuentes críticas de evidencia para investigar y analizar un sistema Linux comprometido, incluidos los sistemas de archivos EXT3/EXT4, syslog, registros de auditoría, memoria, VPN y web shells
• Audita aplicaciones comunes de Linux para bases de datos y servidores web, incluidos Oracle, MySQL, PostgreSQL, Apache y nginx
• Conocer cómo los atacantes pueden desplazarse de un sistema a otro en un entorno de Linux comprometido mediante el uso de datos, como credenciales, inicios de sesión, ejecución remota de comandos y artefactos de shell
• Analizar los registros web para reconocer e interpretar las técnicas comunes de los atacantes, incluidos los métodos de ofuscación y codificación
• Administrar y registrar eficazmente la información relacionada con investigaciones e incidentes en curso
• Comprender el rol de la fase de remediación en una investigación empresarial
• Mejorar la visibilidad de los registros, evitar la manipulación de evidencia y reducir la superficie de ataque al identificar parámetros de configuración comunes y eventos registrados que ayudan en investigaciones eficaces
• Comprender cómo cazar amenazas utilizando inteligencia de amenazas, detección de anomalías y tácticas, técnicas y procedimientos (TTP) conocidos de los actores de amenazas

Este curso está dirigido a estudiantes con conocimientos previos sobre la realización de operaciones de seguridad, respuesta ante incidentes, análisis forense, análisis del tráfico de red, análisis de registros, evaluaciones de seguridad y pruebas de penetración, o tareas de administración de sistemas y arquitectura de seguridad. También puede ayudar a quienes administran los equipos de respuesta ante incidentes o CIRT, o en funciones que requieren la supervisión del análisis forense y otras tareas de investigación.

En el Classroom

5 días (entrega en persona)

Los estudiantes deben traer sus propias laptops que cumplan con las siguientes especificaciones:

• Laptop con VMware instalado (el reproductor de VMware cumple con el requisito)
• Especificaciones: Windows 7 o versiones posteriores o MacOS 10.11 o versiones posteriores
• Más de 16 GB de memoria
• CPU Core i7+
• Más de 25 GB de espacio libre en HDD