Google Cloud 中的突发事件响应

本强化课程旨在向调查员讲授应对 Google Cloud 组织调查所需掌握的技巧。这门快节奏的课程基于一系列实操实验，重点介绍如何在 Google Cloud 组织中调查和响应定向攻击。教授的技能示例包括：如何使用 Google Cloud 原生工具识别威胁行为者的证据，使用开源实用程序增强调查员的能力，并有效遏制和根除威胁行为者。

本课程包括有关证据收集方法及其局限性以及威胁行为者在 Google Cloud 组织中的活动方式的详细讨论。然后，通过由 Google Cloud Skills Boost 提供支持的动态实操实验环境，来强化此信息。实验室将保留最近的入侵证据，并为每个学生提供自己的实验室环境。

建议本课程的先修课程为三个电子学习模块。您可以在 Google Cloud Skills Boost 上找到它们，它们是安全工程师学习路线的一部分。您需要订阅为期一个月的 29 美元订阅才能学习这些课程。请完成以下事项，并在课程开始之前向教师提供结业证书：

• Google Cloud 中的安全性最佳实践（11 小时）
• Google Cloud 中的日志记录和监控（8 小时）
• 管理 Google Cloud 中的安全性（8.5 小时）

在本实验中，您将学习如何执行以下任务：

• 定义 NIST 突发事件响应流程
• 在调查期间使用 MITRE ATT&CK
• 识别 Google Cloud 组织的核心组成部分
• 使用 Log Explorer 和 Log Analytics 执行云调查
• 部署和更新计算实例以进行本地分析
• 识别以下内容的日志：
• 服务账号滥用
• 服务账号密钥创建
• 存储桶访问权限
• GKE 容器日志
• 使用 Plaso、Timesketch、dfTimewolf 等开源工具

本课程专为负责响应 Google Cloud 中的安全事件或发出相关提醒的中级学生而设计。学生应基本了解 Windows 和 Linux 操作系统，并对 Google Cloud 或云概念有基本的了解。

讲师主导的线下培训或线上培训

• 3 天（线下授课）
• 4 天（线上授课）

参与者需要有笔记本电脑和稳定的互联网连接。