Linux Enterprise Incident Response

Kursus ini dirancang untuk mengajarkan teknik investigasi dasar untuk merespons pelaku ancaman canggih saat ini dan metode penyusupan yang digunakan. Kursus ini mencakup serangkaian lab interaktif yang menyoroti semua fase siklus proses serangan yang ditargetkan, sumber penting bukti penyerang, dan analisis forensik yang diperlukan untuk melakukan analisis yang efektif. Siswa dapat mempelajari cara melakukan triase cepat untuk menentukan penyusupan sistem, mengungkap bukti vektor serangan awal, mengenali mekanisme persistensi, dan mengembangkan indikator gangguan (IOC) untuk mencakup suatu insiden lebih jauh.

Setelah menyelesaikan kursus ini, peserta akan mampu:

• Memahami tahapan proses respons insiden yang efektif, termasuk persiapan, deteksi dan analisis, serta perbaikan
• Mengenali bentuk umum, manfaat, dan keterbatasan pengumpulan bukti forensik endpoint, termasuk citra forensik dan akuisisi respons langsung
• Mengidentifikasi dan menggunakan sumber bukti penting untuk menyelidiki dan menganalisis sistem Linux yang disusupi, termasuk sistem file EXT3/EXT4, syslog, log audit, memori, VPN, dan shell web
• Mengaudit aplikasi Linux umum untuk database dan server web, termasuk Oracle, MySQL, PostgreSQL, Apache, dan nginx
• Mengetahui cara penyerang berpindah dari sistem ke sistem dalam lingkungan Linux yang disusupi melalui penggunaan data, termasuk kredensial, login, eksekusi perintah jarak jauh, dan artefak shell
• Menyelidiki lingkungan secara menyeluruh, dalam skala besar, untuk menemukan tanda-tanda penyusupan dengan menggunakan perburuan proaktif
• Menganalisis log web untuk mengenali dan menginterpretasikan teknik penyerang yang umum, termasuk metode obfuscation dan encoding
• Meningkatkan visibilitas logging, mencegah modifikasi bukti, dan mengurangi permukaan serangan dengan mengidentifikasi parameter konfigurasi umum dan peristiwa yang dicatat ke dalam log yang membantu penyelidikan efektif

Administrator sistem Linux, penanggap insiden, pemburu ancaman, dan analis SOC yang perlu memahami proses yang terlibat dalam menjalankan respons insiden perusahaan yang efektif untuk sistem Linux.

Pelatihan yang dipandu instruktur di kelas atau secara virtual

• 3 hari (penyampaian secara langsung)
• 4 hari (penyampaian virtual)

Siswa wajib membawa laptop sendiri yang memenuhi spesifikasi berikut:

• Windows 7+ dan MacOS 10.11+
• VMware atau VirtualBox diinstal di sistem dengan memori 2 GB dan 2 core CPU yang dikhususkan untuk VM (software hypervisor di USB akan disediakan untuk siswa)
• Ruang HDD kosong sebesar 50 GB yang disediakan untuk VM
• Microsoft Office diinstal (direkomendasikan)
• Hak admin/instal
• Konektivitas nirkabel (direkomendasikan)