Combined Windows-Linux Enterprise Incident Response

Kursus intensif ini dirancang untuk mengajarkan teknik investigasi dasar untuk membantu merespons lanskap pelaku ancaman dan skenario penyusupan saat ini.

Kelas ini dibangun berdasarkan serangkaian lab interaktif yang menyoroti berbagai fase serangan yang ditargetkan, sumber bukti utama, dan pengetahuan analisis forensik untuk menganalisisnya. Siswa akan belajar tentang melakukan triase cepat pada sistem untuk menentukan apakah sistem tersebut disusupi, mengungkap bukti vektor serangan awal, mengenali mekanisme persistensi, mengembangkan indikator kompromi untuk menjangkau lebih lanjut suatu insiden, dan banyak lagi.

Setelah menyelesaikan kursus ini, peserta harus dapat:

• Menjelaskan proses respons insiden, termasuk lanskap ancaman, siklus proses serangan yang ditargetkan, vektor serangan awal yang digunakan oleh berbagai pelaku ancaman, dan fase proses respons insiden
• Melakukan triase sistem untuk menjawab pertanyaan kunci tentang apa yang terjadi di seluruh perusahaan saat insiden berlangsung
• Menerapkan pelajaran untuk menyelidiki lingkungan Windows secara proaktif (termasuk metadata, registry, log peristiwa, layanan, mekanisme persistensi, dan artefak eksekusi) untuk mendeteksi tanda-tanda penyusupan
• Mengidentifikasi dan menggunakan sumber bukti penting untuk menyelidiki dan menganalisis sistem Linux yang disusupi, termasuk sistem file EXT3/EXT4, syslog, log audit, memori, VPN, dan shell web
• Mengaudit aplikasi Linux umum untuk database dan server web, termasuk Oracle, MySQL, PostgreSQL, Apache, dan nginx
• Mengetahui bagaimana penyerang dapat berpindah dari sistem ke sistem di lingkungan Linux yang disusupi melalui penggunaan data, termasuk kredensial, login, eksekusi perintah jarak jauh, dan artefak shell
• Menganalisis log web untuk mengenali dan menginterpretasikan teknik penyerang yang umum, termasuk metode obfuscation dan encoding
• Mengelola dan mencatat informasi yang terkait dengan investigasi dan insiden yang sedang berlangsung secara efektif
• Memahami peran fase perbaikan dalam penyelidikan perusahaan
• Meningkatkan visibilitas logging, mencegah modifikasi bukti, dan mengurangi permukaan serangan dengan mengidentifikasi parameter konfigurasi umum dan peristiwa yang dicatat ke dalam log yang membantu penyelidikan efektif
• Memahami cara memburu ancaman menggunakan kecerdasan ancaman, deteksi anomali, serta taktik, teknik, dan prosedur (TTP) pelaku ancaman yang diketahui

Kursus ini ditujukan untuk siswa dengan beberapa latar belakang dalam melakukan operasi keamanan, respons insiden, analisis forensik, analisis traffic jaringan, analisis log, penilaian keamanan dan uji penetrasi, atau arsitektur keamanan dan tugas administrasi sistem. Kursus ini juga bisa membantu mereka yang mengelola tim CIRT/respons insiden, atau dalam peran yang memerlukan pengawasan analisis forensik dan tugas investigasi lainnya.

Di kelas

5 hari (pengiriman secara langsung)

Siswa wajib membawa laptop sendiri yang memenuhi spesifikasi berikut:

• Laptop yang sudah terinstal VMware (pemutar VMware memenuhi persyaratan)
• Spesifikasi: Windows 7+ atau MacOS 10.11+
• Memori 16 GB+
• CPU Core i7+
• Ruang penyimpanan HDD gratis 25 GB+