Linux Enterprise Incident Response

In diesem Kurs werden grundlegende Untersuchungstechniken vermittelt, mit denen Sie auf aktuelle, raffinierte Bedrohungsakteure und deren Angriffsmethoden reagieren können. Dieser Kurs umfasst eine Reihe praktischer Labs, die alle Phasen des Lebenszyklus eines gezielten Angriffs, wichtige Quellen für Beweise und die für eine effektive Analyse erforderliche forensische Analyse hervorheben. Die Studenten lernen, wie ein System schnell eingeordnet werden kann, um festzustellen, ob es manipuliert wurde, um Hinweise auf erste Angriffsvektoren zu finden, Persistenzmechanismen zu erkennen und Kompromittierungsindikatoren für die weitere Untersuchung eines Vorfalls zu entwickeln.

Nach Abschluss dieses Kurses sollten die Lernenden Folgendes können:

• Die Phasen eines effektiven Incident-Response-Prozesses verstehen, einschließlich Vorbereitung, Erkennung und Analyse sowie Behebung
• Gängige Formen, Vorteile und Einschränkungen der forensischen Beweiserhebung auf Endpunkten erkennen, einschließlich forensischer Bildgebung und Live-Response-Erfassung
• Kritische Beweisquellen identifizieren und verwenden, um ein manipuliertes Linux-System zu untersuchen und zu analysieren, einschließlich EXT3/EXT4-Dateisysteme, Syslog, Audit-Logs, Arbeitsspeicher, VPN und Webshells
• Gängige Linux-Anwendungen für Datenbanken und Webserver prüfen, darunter Oracle, MySQL, PostgreSQL, Apache und nginx
• Herausfinden, wie Angreifer in einer manipulierten Linux-Umgebung mithilfe von Daten wie Anmeldedaten, Anmeldungen, Remote-Befehlsausführung und Shell-Artefakten von System zu System gelangen können
• Durch eine proaktive Suche eine vollständige Umgebung im großen Maßstab auf Anzeichen von Kompromittierung untersuchen
• Webprotokolle analysieren, um gängige Angreifertechniken, einschließlich Verschleierungs- und Codierungsmethoden, zu erkennen und zu interpretieren
• Die Transparenz der Protokollierung verbessern, die Manipulation von Beweisen verhindern und die Angriffsfläche reduzieren, indem allgemeine Konfigurationsparameter und protokollierte Ereignisse identifiziert werden, die effektive Untersuchungen unterstützen

Linux-Systemadministratoren, Incident-Response-Teams, Bedrohungsjäger und SOC-Analysten, die den Prozess einer effektiven Reaktion auf Vorfälle in Linux-Systemen verstehen müssen.

Präsenzkurse oder virtuelle Präsenzschulungen

• 3 Tage (Präsenzkurs)
• 4 Tage (virtueller Kurs)

Alle Lernenden müssen einen eigenen Laptop mitbringen, der folgende Voraussetzungen erfüllt:

• Windows 7+ and MacOS 10.11+
• VMware oder VirtualBox installiert auf einem System mit 2 GB Arbeitsspeicher und 2 für die VM dedizierten CPU-Kernen (Hypervisor-Software auf dem USB-Anschluss wird den Lernenden zur Verfügung gestellt)
• 50 GB nicht belegter HDD-Speicherplatz für die VM
• Microsoft Office installiert (empfohlen)
• Admin-/Installationsrechte
• WLAN-Konnektivität (empfohlen)