Practical Threat Hunting

Der Kurs "Praktische Bedrohungssuche" wurde entwickelt, um Bedrohungsjägern und Incident-Response-Experten die Kernkonzepte der Entwicklung und Durchführung von Bedrohungssuchen zu vermitteln. In diesem Kurs wird Folgendes gelernt:

• Mit Cyber Threat-Intelligence-Konzepten nach Angreiferaktivitäten in Ihrer Umgebung suchen
• Eine wiederholbare Methode etablieren und Anwendungsfälle für die Bedrohungssuche entwickeln
• Endpunktdaten für die Jagd nutzen
• Wirksamkeitsmessungen für das Bedrohungssucheprogramm festlegen

Dieser Kurs beinhaltet praktische Übungen, in denen die Teilnehmer Hypothesen und Missionen entwickeln müssen, um in verschiedenen Szenarien wie Social Engineering, Netzwerk- und Systemangriffen und staatlichen APT-Akteuren nach Beweisen für eine Kompromittierung zu suchen. Die Labs sind so konzipiert, dass die Teilnehmer die Möglichkeit haben, mit Umgebungen wie der Kommandozeile, Jupyter Notebook und forensischen Tools wie Velociraptor zu arbeiten.

Voraussetzungen: Die Lernenden sollten über Kenntnisse der Grundlagen von Computern und Betriebssystemen verfügen. Das Programmieren von Python ist nicht erforderlich, aber die Vertrautheit mit der Sprache oder mit Programmierkonzepten wird den Teilnehmern bei der Arbeit an einigen der Übungen helfen.

Der Kurs besteht aus den folgenden Modulen, wobei die zugehörigen Labs Teil der Anleitung sind.

• Einführung in das Aufspüren von Bedrohungen: Hier werden die Kernkonzepte des Aufspürens von Bedrohungen erläutert. Sie erhalten einen Überblick über die Merkmale einer Bedrohungssuche sowie über die Vorteile einer solchen Suche und erfahren, welche Herausforderungen die Bedrohungsjäger kennen sollten. Den Kursteilnehmern wird das Schlüsselkonzept der Nutzung von Bedrohungsdaten vorgestellt.
• Einführung in die Bedrohungsmodellierung – Die Bedrohungsmodellierung ist der Schlüssel zu einer effektiven Bedrohungssuche. Es wird ein Überblick über die Grundlagen der Bedrohungsmodellierung gegeben. Die Teilnehmer erhalten einen Überblick über den Workflow der Bedrohungsmodellierung und erfahren, wie dieser mit der Bedrohungssuche verbunden ist. Außerdem wird auf die Bedeutung der Verwendung von Threat Intelligence bei der Bedrohungsmodellierung eingegangen.
• Framework für das Threat Hunt Program - Verständnis dafür, was den Rahmen eines Programms zur Bedrohungssuche ausmacht. In diesem Modul lernen Sie die Anforderungen eines formalen Programms zur Bedrohungssuche kennen.
• Threat Hunt Operational Drivers – Verständnis dafür, was für die Bedrohungssuche benötigt wird. Es wird ein Überblick über die Bereiche gegeben, in denen ein Unternehmen in der Lage sein muss, eine effektive Bedrohungssuche durchzuführen. Es wird erörtert, welche Vorteile es hat, über diese Fähigkeiten zu verfügen, und welche Herausforderungen sich ergeben, wenn ein Unternehmen bei einer dieser Fähigkeiten Defizite aufweist.
• A4-Framework: Dieses Modul bietet eine Einführung in das A4-Framework der Bedrohungssuche. Dieses Konzept wird im weiteren Verlauf des Kurses vertieft, da es im Rahmen aller praktischen Übungen verwendet wird.
• Threat Hunt Library – Hier erfahren Sie, wie wichtig es ist, eine Threat Hunt-Bibliothek zu entwickeln und zu pflegen. Die Teilnehmer können an Übungen teilnehmen, die die Bedeutung des Aufbaus und der Pflege einer Threat Hunt-Bibliothek unterstreichen. Im Rahmen der Labs erstellen die Teilnehmer eine Bibliothek für die Bedrohungssuche, die sie nach Abschluss des Kurses mitnehmen können.
• Labs: Die Teilnehmer müssen mehrere Labs absolvieren, in denen sie mithilfe von Bedrohungsdaten in bestimmten Szenarien Hypothesen aufstellen und eine Bedrohungssuche entwickeln. Die Schüler erhalten dann Zugang zu einer Umgebung, in der sie die von ihnen entworfene Bedrohungssuche ausführen können.
• Anwendungsfall – Einblick in das kritische Ergebnis einer Bedrohungssuche gewinnen Hier erfahren Sie, wie Sie mithilfe von Bedrohungssuchen Anwendungsfälle generieren. In diesem Modul erhalten Sie einen Überblick über die Sigma-Regeln. Die Teilnehmer können dann auf Grundlage der im Rahmen der praxisorientierten Labs entwickelten Bedrohungssuche Anwendungsfälle entwickeln.

Inhalt und Tempo dieses Kurses richten sich an Bedrohungsjäger, Fachleute für Informationssicherheit, Spezialisten für Vorfälle, Computersicherheitsforscher, Ermittler in Unternehmen oder andere, die verstehen müssen, wie die Bedrohungssuche durchgeführt wird und welche Prozesse bei der Durchführung von Bedrohungssuchen erforderlich sind.

Präsenz- und virtuelle Schulungen mit Kursleiter

• 3 Tage (Präsenzkurs)
• 4 Tage (virtueller Kurs)

Die Teilnehmer sollten ihren eigenen Laptop mit dem neuesten Browser ihrer Wahl und der Möglichkeit, eine Internetverbindung herzustellen, mitbringen. Die Teilnehmer erhalten Handouts, temporäre Anmeldedaten für den Zugang zu Mandiant Advantage und eine Anleitung, wie Sie sich mit der Laborumgebung verbinden können.