Respuesta a incidentes de Linux Enterprise

Este curso está diseñado para enseñar las técnicas de investigación fundamentales para responder a los sofisticados atacantes de las amenazas actuales y a sus métodos de intrusión. Este curso incluye una serie de sesiones prácticas en las que se destacan todas las fases del ciclo de vida de un ataque selectivo, las fuentes críticas de evidencia de los atacantes y el análisis forense necesario para llevar a cabo un análisis eficaz. Los alumnos pueden aprender a realizar una evaluación rápida para determinar la intrusión en el sistema, encontrar pruebas de los vectores iniciales de ataque, reconocer los mecanismos de persistencia y desarrollar indicadores de compromiso (IOCs) para delimitar aún más el ámbito de un incidente.

Después de completar este curso, los alumnos deberían ser capaces de hacer lo siguiente:

• Conocer las fases de un proceso eficaz de respuesta a incidentes, incluyendo la preparación, la detección, el análisis y la solución
• Reconoce las formas, las ventajas y las limitaciones habituales de la recogida de pruebas forenses en puntos finales, incluidas las imágenes forenses y la adquisición de respuestas en tiempo real
• Identificar y usar fuentes de evidencia críticas para investigar y analizar un sistema Linux vulnerado, incluidos sistemas de archivos EXT3/EXT4, syslog, registros de auditoría, memoria, VPN y shells web
• Realizar auditorías de aplicaciones de Linux habituales para bases de datos y servidores web, como Oracle, MySQL, PostgreSQL, Apache y nginx
• Descubrir cómo pueden pasar los atacantes de un sistema a otro en un entorno de Linux vulnerado mediante el uso de datos (como las credenciales, los registros, la ejecución de comandos remotos y los artefactos de shell)
• Investigar un entorno completo, a gran escala, en busca de signos de riesgo mediante la caza proactiva
• Analizar los registros web para reconocer e interpretar las técnicas más habituales de los atacantes, incluidos los métodos de ofuscación y codificación
• Mejorar la visibilidad de los registros, evitar la manipulación de pruebas y reducir la superficie de ataque identificando parámetros de configuración comunes y eventos registrados que contribuyen a realizar investigaciones eficaces

Administradores de sistemas Linux, encargados de responder a incidentes, identificadores de amenazas y analistas de SOC que necesitan comprender el proceso para realizar una respuesta eficaz a incidentes empresariales en sistemas Linux.

Formación presencial o virtual impartida por un profesor

• 3 días (entrega en persona)
• 4 días (entrega virtual)

Los alumnos deben llevar un portátil que cumpla las siguientes especificaciones:

• Windows 7+ y MacOS 10.11+
• VMware o VirtualBox instalados en el sistema con 2 GB de memoria y 2 núcleos de CPU dedicados a la VM (se proporcionará el software de hipervisor en el USB para los alumnos)
• 50 GB de espacio libre en HDD reservado para la VM
• Microsoft Office instalado (recomendado)
• Derechos de administrador o de instalación
• Conectividad inalámbrica (recomendada)