Windows 與 Linux Enterprise 事件應變綜合課程

本密集式課程旨在教授可應對當今威脅發動者和入侵情境的基礎調查技術。

本課程包含一系列實作研究室活動，活動中將重點講解針對性攻擊的各個階段、攻擊證據的主要來源，以及鑑識分析的專業知識。學生將學習如何快速鑑別系統是否遭到入侵、找出初始攻擊向量的證據、辨識持續性威脅的機制，以及制定入侵指標來進一步確定事件影響範圍。

完成本課程後，學員應能夠：

• 說明事件應變程序，包括威脅情勢、針對性攻擊生命週期、不同威脅發動者使用的初始攻擊向量，以及事件應變程序的各個階段
• 進行系統鑑別，並回答關於在資安事件中企業資料外洩情況的關鍵問題
• 應用課程所學對 Windows 環境 (包括中繼資料、註冊資料庫、事件記錄、服務、持續性威脅機制及執行構件) 主動展開調查，搜尋入侵跡象
• 找出關鍵證據來源並用以調查及分析遭入侵的 Linux 系統，包括 EXT3/EXT4 檔案系統、系統記錄檔、稽核記錄、記憶體、VPN 和 Web Shell
• 稽核資料庫和網路伺服器中常見的 Linux 應用程式，包括 Oracle、MySQL、PostgreSQL、Apache 和 nginx
• 瞭解攻擊者如何利用外洩資料 (包括憑證、登入、遠端命令執行和殼層構件)，在遭到入侵的 Linux 環境中於系統間移動
• 分析網頁記錄來識別並解讀常見的攻擊技術，包括模糊處理和編碼方法
• 管理及有效記錄進行中調查和資安事件的相關資訊
• 瞭解修復階段在企業調查作業中扮演的角色
• 找出可提升調查成效的常用設定參數和記錄事件，以改善記錄洞察力、防止證據竄改並減少攻擊面
• 瞭解如何運用威脅情報、異常偵測結果及已知的威脅發動者戰術、技巧和程序 (TTP) 來搜尋威脅

本課程適合具備資安營運、事件應變、鑑識分析、網路流量分析、記錄檔分析、資安評估和滲透測試相關背景，以及擔任安全架構和系統管理職務的學員。本課程也非常適合 CIRT 管理/事件應變團隊的成員，或需負責監督鑑識分析和其他調查工作的人員。

現場

5 天 (現場授課)

學生必須自備符合下列規格的筆記型電腦：

• 已安裝 VMware 的筆記型電腦 (安裝的 VMware Player 需符合要求)
• 規格：Windows 7 以上版本或 MacOS 10.11 以上版本
• 16 GB 以上記憶體
• Core i7 以上 CPU
• 25 GB 以上可用 HDD 空間