Linux Enterprise Incident Response

In diesem Kurs lernen Sie die grundlegenden Untersuchungstechniken kennen, mit denen Sie auf die raffinierten Hacker von heute und ihre Angriffsmethoden reagieren können. Dieser Kurs umfasst eine Reihe von praxisorientierten Labs, in denen alle Phasen eines gezielten Angriffszyklus, kritische Quellen von Angreifernachweisen und forensische Analysen behandelt werden, die für eine effektive Analyse erforderlich sind. Die Schüler lernen, wie sie schnelle Einstufungen durchführen, um Angriffe von Systemen zu erkennen, Hinweise auf erste Angriffsvektoren zu finden, Persistenzmechanismen zu erkennen und Gefahrenindikatoren zu entwickeln, um einen Vorfall weiter einzugrenzen.

Nach Abschluss dieses Kurses sollten die Lernenden Folgendes können:

• Die Phasen einer effektiven Reaktion auf Vorfälle verstehen, einschließlich Vorbereitung, Erkennung, Analyse und Behebung
• Häufige Formen, Vorteile und Einschränkungen der forensischen Beweisesammlung an Endpunkten erkennen, einschließlich forensischer Bildgebung und Erfassung von Live-Antworten
• Kritische Beweisquellen identifizieren und verwenden, um ein manipuliertes Linux-System zu untersuchen und zu analysieren, einschließlich EXT3/EXT4-Dateisysteme, Syslog, Audit-Logs, Arbeitsspeicher, VPN und Webshells
• Gängige Linux-Anwendungen für Datenbanken und Webserver prüfen, einschließlich Oracle, MySQL, PostgreSQL, Apache und nginx
• Herausfinden, wie Angreifer in einer manipulierten Linux-Umgebung mithilfe von Daten wie Anmeldedaten, Anmeldungen, Remote-Befehlsausführung und Shell-Artefakten von System zu System gelangen können
• Untersuchen Sie eine vollständige Umgebung im großen Maßstab auf Anzeichen eines Angriffs mithilfe der proaktiven Suche.
• Analysieren von Webprotokollen, um gängige Angreifertechniken, einschließlich Verschleierungs- und Codierungsmethoden, zu erkennen und zu interpretieren
• Die Transparenz der Protokollierung verbessern, die Manipulation von Beweisen verhindern und die Angriffsfläche reduzieren, indem allgemeine Konfigurationsparameter und protokollierte Ereignisse identifiziert werden, die effektive Untersuchungen unterstützen

Linux-Systemadministratoren, Incident-Response-Experten, Bedrohungssuchende und SOC-Analysten, die den Prozess verstehen müssen, der für eine effektive Reaktion auf Vorfälle in Unternehmen für Linux-Systeme erforderlich ist.

Präsenzkurse oder virtuelle Präsenzschulungen

• 3 Tage (Präsenzkurs)
• 4 Tage (virtueller Kurs)

Alle Lernenden müssen einen eigenen Laptop mitbringen, der folgende Voraussetzungen erfüllt:

• Windows 7+ and MacOS 10.11+
• VMware oder VirtualBox installiert auf einem System mit 2 GB Arbeitsspeicher und 2 für die VM dedizierten CPU-Kernen (Hypervisor-Software auf dem USB-Anschluss wird den Lernenden zur Verfügung gestellt)
• 50 GB freier HDD-Speicher für die VM
• Microsoft Office installiert (empfohlen)
• Administrator-/Installationsrechte
• WLAN-Konnektivität (empfohlen)