Resposta combinada a incidentes empresariais do Windows e Linux

Este curso intensivo foi desenvolvido para ensinar as técnicas investigativas fundamentais para ajudar a responder ao atual cenário de agentes de ameaças e cenários de intrusão.

A aula baseia-se em uma série de laboratórios práticos que destacam as fases de um ataque direcionado, as principais fontes de evidências e os conhecimentos de análise forense para analisá-los. Os alunos aprendem a fazer uma triagem rápida em um sistema para determinar se ele está comprometido, revelar evidências de vetores de ataque iniciais, reconhecer mecanismos de persistência, desenvolver indicadores de comprometimento para definir o escopo de um incidente e muito mais.

Após concluir este curso, os estudantes vão conseguir:

• Descrever o processo de resposta a incidentes, incluindo o cenário de ameaças, o ciclo de vida do ataque direcionado, os vetores de ataque iniciais usados por diferentes agentes de ameaça e as fases de um processo de resposta a incidentes
• Realizar a triagem do sistema para responder a perguntas fundamentais sobre o que aconteceu em toda a empresa durante um incidente
• Aplicar as lições aprendidas para investigar proativamente um ambiente Windows (incluindo metadados, registro, logs de eventos, serviços, mecanismos de persistência e artefatos de execução) em busca de sinais de comprometimento
• Identificar e usar fontes de evidências críticas para investigar e analisar um sistema Linux comprometido, incluindo sistemas de arquivos EXT3/EXT4, syslog, registros de auditoria, memória, VPN e web shells.
• Audite aplicativos comuns do Linux para bancos de dados e servidores da Web, incluindo Oracle, MySQL, PostgreSQL, Apache e nginx
• Saiba como os invasores podem se mover de um sistema a outro em um ambiente Linux comprometido pelo uso de dados, incluindo credenciais, logins, execução de comando remoto e artefatos de shell
• Analise registros da Web para reconhecer e interpretar técnicas comuns do invasor, incluindo métodos de ofuscação e codificação.
• Gerenciar e registrar com eficácia informações relacionadas a investigações e incidentes em andamento
• Entender o papel da fase de correção em uma investigação empresarial
• Melhore a visibilidade da geração de registros, evite adulterações de evidências e reduza a superfície de ataque identificando parâmetros de configuração comuns e eventos registrados que ajudam em investigações eficazes
• Compreenda como caçar ameaças usando inteligência de ameaças, detecção de anomalias e táticas, técnicas e procedimentos (TTPs) dos agentes de ameaças conhecidos

Este curso é destinado a alunos com experiência na condução de operações de segurança, resposta a incidentes, análise forense, análise de tráfego de rede, análise de registros, avaliações de segurança e testes de penetração ou tarefas de arquitetura de segurança e administração de sistemas. Ela também pode ajudar aqueles que gerenciam equipes de CIRT/resposta a incidentes ou em funções que exigem a supervisão de análises forenses e outras tarefas investigativas.

No Google Sala de Aula

5 dias (entrega presencial)

Os alunos precisam levar um laptop que atenda às seguintes especificações:

• Laptop com VMware instalado (o player VMware atende ao requisito)
• Especificações: Windows 7+ ou MacOS 10.11+
• 16 GB+ de memória
• CPU Core i7+
• Mais de 25 GB de espaço livre em disco rígido