Linux Enterprise Incident Response

Este curso está diseñado para enseñar las técnicas fundamentales de investigación de respuesta a los perpetradores sofisticados de la actualidad y sus métodos de intrusión. Este curso incluye una serie de labs prácticos que destacan todas las fases del ciclo de vida de un ataque específico, las fuentes críticas de evidencia del atacante y el análisis forense necesario para realizar un análisis eficaz. Los alumnos pueden aprender a realizar una evaluación rápida para determinar el ataque al sistema, descubrir evidencia de vectores de ataque iniciales, reconocer mecanismos de persistencia y desarrollar indicadores de compromiso (IOC) para ampliar el alcance de un incidente.

Después de completar este curso, los estudiantes deberían poder hacer lo siguiente:

• Comprender las etapas de un proceso eficaz de respuesta ante incidentes, incluida la preparación, la detección, el análisis y la corrección
• Reconocer las formas, los beneficios y las limitaciones comunes de la recopilación de evidencia forense del endpoint, incluidas las imágenes forenses y la adquisición de respuestas en vivo
• Identificar y utilizar fuentes críticas de evidencia para investigar y analizar un sistema Linux comprometido, incluidos los sistemas de archivos EXT3/EXT4, syslog, registros de auditoría, memoria, VPN y web shells
• Audita aplicaciones comunes de Linux para bases de datos y servidores web, incluidos Oracle, MySQL, PostgreSQL, Apache y nginx
• Conocer cómo los atacantes pasan de un sistema a otro en un entorno de Linux comprometido mediante el uso de datos, como credenciales, inicios de sesión, ejecución remota de comandos y artefactos de shell
• Investiga todo un entorno, a escala, en busca de indicios de vulneración mediante el uso de cacería proactiva
• Analizar los registros web para reconocer e interpretar las técnicas comunes de los atacantes, incluidos los métodos de ofuscación y codificación
• Mejorar la visibilidad de los registros, evitar la manipulación de evidencia y reducir la superficie de ataque al identificar parámetros de configuración comunes y eventos registrados que ayudan en investigaciones eficaces

Administradores de sistemas Linux, responsables de la respuesta ante incidentes, cazadores de amenazas y analistas del SOC que necesitan comprender el proceso involucrado en la realización de una respuesta ante incidentes empresarial eficaz para los sistemas Linux.

Capacitación virtual o presencial dictada por un instructor

• 3 días (entrega en persona)
• 4 días (entrega virtual)

Los estudiantes deben traer sus propias laptops que cumplan con las siguientes especificaciones:

• Windows 7 o versiones posteriores y MacOS 10.11 o versiones posteriores
• VMware o VirtualBox instalado en un sistema con 2 GB de memoria y 2 núcleos de CPU dedicados a la VM (se proporcionará a los estudiantes software de hipervisor en la unidad USB)
• 50 GB de espacio HDD gratuito reservados para la VM
• Microsoft Office instalado (recomendado)
• Derechos de administrador o de instalación
• Conectividad inalámbrica (recomendada)