Resposta a incidentes empresariais do Linux

Este curso foi desenvolvido para ensinar as técnicas investigativas fundamentais para responder aos sofisticados atores de ameaças da atualidade e seus métodos de intrusão. Este curso inclui uma série de laboratórios práticos que destacam todas as fases do ciclo de vida de um ataque direcionado, fontes críticas de evidências de atacantes e a análise forense necessária para realizar análises eficazes. Os alunos podem aprender como conduzir uma triagem rápida para determinar o comprometimento do sistema, descobrir evidências de vetores de ataque iniciais, reconhecer mecanismos de persistência e desenvolver indicadores de comprometimento (IOCs) para investigar ainda mais um incidente.

Após concluir este curso, os estudantes vão conseguir:

• Entender as etapas de um processo eficaz de resposta a incidentes, incluindo preparação, detecção, análise e remediação
• Reconhecer formas, benefícios e limitações comuns da coleta de evidências forenses de endpoint, incluindo imagens forenses e aquisição de respostas ao vivo
• Identificar e usar fontes de evidências críticas para investigar e analisar um sistema Linux comprometido, incluindo sistemas de arquivos EXT3/EXT4, syslog, registros de auditoria, memória, VPN e web shells.
• Auditar aplicativos comuns do Linux para bancos de dados e servidores da Web, incluindo Oracle, MySQL, PostgreSQL, Apache e nginx
• Saber como os invasores se movem de sistema em sistema em um ambiente Linux comprometido por meio do uso de dados, incluindo credenciais, logins, execução de comando remoto e artefatos de shell
• Investigar um ambiente completo, em escala, em busca de sinais de comprometimento com o uso de caça proativa
• Analisar registros da Web para reconhecer e interpretar técnicas comuns do invasor, incluindo métodos de ofuscação e codificação.
• Melhorar a visibilidade da geração de registros, evite adulterações de evidências e reduza a superfície de ataque identificando parâmetros de configuração comuns e eventos registrados que ajudam em investigações eficazes

Administradores de sistemas Linux, responsáveis pela resposta a incidentes, caçadores de ameaças e analistas de SOC que precisam entender o processo envolvido na realização de uma resposta empresarial eficaz a incidentes para sistemas Linux.

Treinamento virtual ou presencial com instrutor

• 3 dias (presencial)
• 4 dias (virtual)

Os alunos precisam levar um laptop que atenda às seguintes especificações:

• Windows 7+ and MacOS 10.11+
• VMware ou VirtualBox instalado no sistema com 2 GB de memória e dois núcleos de CPU dedicados à VM (o software de hipervisor no USB será fornecido para os alunos)
• 50 GB de espaço livre em HDD reservado para a VM
• Microsoft Office instalado (recomendado)
• Direitos de administrador/instalação
• Conectividade sem fio (recomendado)