Combined Windows-Linux Enterprise Incident Response（Windows-Linux 企业突发事件响应）

本强化课程旨在讲授基本调查技术，以帮助应对当今的威胁行为者和入侵场景。

本课程以一系列动手实验为基础，这些实验重点介绍定向攻击的阶段、关键证据来源，以及如何分析这些攻击的取证分析知识。学生将学习如何对系统进行快速分类以确定其是否遭受侵害，发现初始攻击途径的证据，识别持久性机制，制定失陷指标以进一步确定突发事件的范围，等等。

完成本课程后，学员应该能够：

• 介绍突发事件响应过程，包括威胁态势、定向攻击生命周期、不同威胁行为者使用的初始攻击途径，以及突发事件响应的各个阶段
• 进行系统分类，以解答关键问题，了解突发事件期间在整个企业范围内发生的情况
• 运用学到的经验教训，主动调查 Windows 环境（包括元数据、注册表、事件日志、服务、持久性机制和执行工件），以寻找入侵迹象
• 识别并使用关键证据来源调查和分析受入侵的 Linux 系统，包括 EXT3/EXT4 文件系统、syslog、审核日志、内存、VPN 和 web shell
• 审核适用于数据库和 Web 服务器的常见 Linux 应用，包括 Oracle、MySQL、PostgreSQL、Apache 和 nginx
• 了解攻击者如何使用数据（包括凭据、登录名、远程命令执行和 shell 工件）在受侵 Linux 环境中从一个系统进入另一个系统
• 分析网络日志，以识别和解读常见的攻击者技术，包括混淆和编码方法
• 管理并有效记录与正在进行的调查和突发事件相关的信息
• 了解修复阶段在企业调查中的作用
• 通过识别常见配置参数和记录的事件来帮助有效调查，提高日志记录可见性，防止证据篡改，并减少攻击面
• 了解如何利用威胁情报、异常值检测和已知威胁行为者的战术、技术和程序 (TTP) 搜寻威胁

本课程面向符合以下条件的学生：负责执行安全运维、突发事件响应、取证分析、网络流量分析、日志分析、安全评估和渗透测试或者安全架构和系统管理职责。它还可以帮助管理 CIRT/突发事件响应团队的人员，或者帮助那些需要监督取证分析和其他调查任务的人员。

在课堂中

5 天（线下授课）

学生必须自带符合以下规格的笔记本电脑：

• 安装了 VMware 的笔记本电脑（VMware 播放器符合要求）
• 规格：Windows 7+ 或 MacOS 10.11+
• 16GB 以上的内存
• Core i7+ CPU
• 25GB 以上的可用 HDD 空间