Linux Enterprise 事件應變

本課程設計用來教導基礎調查技術，以回應現今複雜的威脅發動者及其入侵方法。本課程包含一系列的實際操作研究室，突顯針對性攻擊之生命週期的所有階段、攻擊者證據的關鍵來源，以及執行有效分析所需的鑑識分析。學員可以學到如何快速分類以判斷系統遭到入侵、找出初始攻擊向量的證據、辨識持續性機制，以及制定入侵指標 (IOC) 來進一步界定事件範圍。

完成本課程後，學員應能夠：

• 瞭解有效事件應變程序的各個階段，包括準備、偵測和分析以及補救措施
• 認識端點鑑識證據收集的常見形式、優點和限制，包括鑑識影像和即時回應的取得
• 找出並使用關鍵證據來源，以調查和分析遭入侵的 Linux 系統，包括 EXT3/EXT4 檔案系統、系統記錄檔、稽核記錄、記憶體、VPN 和 Web Shell
• 稽核資料庫和網路伺服器的常見 Linux 應用程式，包括 Oracle、MySQL、PostgreSQL、Apache 和 nginx
• 瞭解攻擊者如何透過使用資料 (包括憑證、登入、遠端命令執行和殼層構件)，在受感染的 Linux 環境中，從一個系統移動到另一個系統
• 使用主動搜索大規模調查整個環境，尋找入侵跡象
• 分析網頁記錄來識別和解讀常見的攻擊者技術，包括模糊處理和編碼方法
• 找出可協助有效調查的常用設定參數和記錄事件，以改善記錄的掌握度、防止證據竄改，並減少攻擊面

Linux 系統管理員、事件應變人員、威脅搜索專家和 SOC 分析師，都需要瞭解針對 Linux 系統執行有效的企業事件應變所涉及的程序。

由講師講解的現場或線上訓練課程

• 3 天 (現場授課)
• 4 天 (線上授課)

學生必須自備符合下列規格的筆記型電腦：

• Windows 7 以上版本和 MacOS 10.11 以上版本
• 安裝於系統上的 VMware 或 VirtualBox，並有 2 GB 記憶體以及　2 個 VM 專屬 CPU 核心 (系統會為學生提供 USB 上的管理程序軟體)
• 為 VM 預留 50 GB 的免費 HDD 空間
• 已安裝 Microsoft Office (建議)
• 管理員/安裝權限
• 具無線連線能力 (建議)