Linux Enterprise Incident Response（Linux 企业突发事件响应）

本课程旨在介绍应对当今复杂的威胁行为体及其入侵手段的基本调查方法。本课程包括一系列动手实验，重点介绍定向攻击生命周期的所有阶段、攻击者证据的关键来源，以及进行有效分析所需的取证分析。学生可以学习如何进行快速分类以确定系统入侵，发现初始攻击途径的证据，识别持久性机制，以及制定失陷指标 (IOC) 以进一步确定突发事件的范围。

完成本课程后，学员应该能够：

• 了解有效的突发事件响应流程的各个阶段，包括准备、检测、分析和修复
• 了解终端证据收集（包括取证映像和实时响应采集）的常见形式、好处和限制
• 识别并使用关键证据来源调查和分析被入侵的 Linux 系统，包括 EXT3/EXT4 文件系统、syslog、审核日志、内存、VPN 和 web shell
• 审核数据库和 Web 服务器的常见 Linux 应用，包括 Oracle、MySQL、PostgreSQL、Apache 和 nginx
• 了解攻击者如何使用数据（包括凭据、登录名、远程命令执行和 shell 工件）在遭到入侵的 Linux 环境中从一个系统进入另一个系统
• 通过主动搜寻来大规模调查整个环境中是否有遭到入侵的迹象
• 分析网络日志，以识别和解读常见的攻击者技术，包括混淆和编码方法
• 通过识别有助于有效调查的常见配置参数和记录的事件，提高日志记录可见性，防止证据篡改，并减少攻击面

需要了解对 Linux 系统执行有效企业突发事件响应所涉及的流程的 Linux 系统管理员、突发事件响应者、威胁猎人和 SOC 分析师。

讲师主导的线下培训或线上培训

• 3 天（线下授课）
• 4 天（线上授课）

学生必须自带符合以下规格的笔记本电脑：

• Windows 7+ 和 MacOS 10.11+
• 系统上已安装 VMware 或 VirtualBox，并且系统有 2 GB 内存和 2 个 CPU 核心专用于虚拟机（将为学生提供 USB 中的 Hypervisor 软件）
• 为虚拟机预留 50 GB 的可用 HDD 空间
• 已安装 Microsoft Office（推荐）
• 管理员/安装权限
• 无线连接（推荐）