Risposta agli incidenti di Linux Enterprise

Questo corso è stato progettato per insegnare le tecniche investigative fondamentali per rispondere ai sofisticati attori delle minacce di oggi e ai loro metodi di intrusione. Questo corso include una serie di lab pratici che mettono in evidenza tutte le fasi del ciclo di vita di un attacco mirato, le fonti critiche sulle prove relative ai malintenzionati e l’analisi forense necessaria per condurre un’analisi efficace. Gli studenti possono imparare a eseguire un triage rapido per determinare la compromissione del sistema, scoprire le prove dei vettori di attacco iniziali, riconoscere i meccanismi di persistenza e sviluppare indicatori di compromissione (IOC) per determinare ulteriormente la portata di un incidente.

Al termine del corso, gli studenti dovrebbero essere in grado di:

• Comprendere le fasi di un efficace processo di risposta agli incidenti, tra cui preparazione, rilevamento, analisi e correzione
• Riconoscere le forme comuni, i vantaggi e i limiti della raccolta di prove forensi endpoint, tra cui l'imaging forense e l'acquisizione della risposta dal vivo
• Identificare e utilizzare le fonti di prove critiche per indagare e analizzare un sistema Linux compromesso, compresi file system EXT3/EXT4, syslog, audit log, memoria, VPN e shell web
• Controllare le applicazioni Linux comuni per database e server web, tra cui Oracle, MySQL, PostgreSQL, Apache e nginx
• Scoprire come gli aggressori possono passare da un sistema all’altro in un ambiente Linux compromesso attraverso l’utilizzo di dati, tra cui credenziali, accessi, esecuzione di comandi da remoto e artefatti della shell
• Indagare su un ambiente completo, su larga scala, alla ricerca di segnali di compromissione con l’uso di un rilevamento proattivo
• Analizzare i log web per riconoscere e interpretare le tecniche dei malintenzionati, inclusi l’offuscamento e i metodi di codifica
• Migliorare la visibilità dei log, prevenire la manomissione delle prove e ridurre la superficie di attacco identificando parametri di configurazione comuni ed eventi registrati che favoriscono indagini efficaci

Amministratori di sistema Linux, addetti alla risposta agli incidenti, rilevatori di minacce e analisti SOC che devono comprendere il processo coinvolto nell’esecuzione di una risposta agli incidenti aziendale efficace per i sistemi Linux.

Formazione con istruttore (ILT) in aula o virtuale

• 3 giorni (formazione in presenza)
• 4 giorni (formazione virtuale)

Gli studenti devono portare con sé un laptop che soddisfi le seguenti specifiche:

• Windows 7 o versioni successive e MacOS 10.11 o versioni successive
• VMware o VirtualBox installato su un sistema con 2 GB di memoria e 2 core CPU dedicati alla VM (agli studenti verrà fornito il software hypervisor su USB)
• 50 GB di spazio libero su HDD riservato alla VM
• Microsoft Office installato (consigliato)
• Diritti di amministrazione/installazione
• Connettività wireless (consigliata)