Detección práctica de amenazas

El curso Practical Threat Hunting se ha diseñado para enseñar a los buscadores de amenazas y a los encargados de responder a incidentes los conceptos fundamentales del desarrollo y la ejecución de la búsqueda de amenazas. Con este curso, los alumnos pueden aprender a hacer lo siguiente:

• Aplicar conceptos de inteligencia sobre ciberamenazas para buscar la actividad del adversario en tu entorno
• Establecer una metodología de búsqueda repetible y desarrollar casos prácticos de búsqueda
• Aprovechar los datos de puntos finales para buscar amenazas
• Establecer medidas de eficacia para el programa de búsqueda

Este curso incluye experimentos prácticos que desafían a los alumnos a desarrollar hipótesis y a perseguir misiones para buscar indicios de intrusión a través de múltiples situaciones, como la ingeniería social, el compromiso de redes y sistemas, y la APT de los actores de un estado-nación. Los experimentos están diseñados para que los alumnos tengan la oportunidad de experimentar la búsqueda con entornos como la línea de comandos, Jupyter Notebook y herramientas forenses como Velociraptor.

Requisitos previos: los alumnos deben conocer los aspectos básicos de la informática y los sistemas operativos. No se requiere programación en Python. sin embargo, estar familiarizado con el lenguaje o los conceptos de programación ayudará a los alumnos a trabajar en algunos de los experimentos.

El curso se compone de los siguientes módulos, e incluye experimentos durante la formación.

• Introducción a la búsqueda de amenazas: comprender los conceptos fundamentales que constituyen la búsqueda de amenazas. Se proporciona un resumen de las características de una búsqueda de amenazas junto con las ventajas de realizar este tipo de búsquedas y los retos que los buscadores de amenazas deben tener en cuenta. Se presenta a los alumnos el concepto clave de aprovechar la inteligencia sobre amenazas.
• Introducción al modelado de amenazas: comprenda cómo el modelado de amenazas es clave para cualquier búsqueda de amenazas eficaz. Se proporciona una descripción general de los conceptos básicos de la modelización de amenazas. A continuación, se proporciona a los alumnos un desglose del flujo de trabajo de la modelización de amenazas y su relación con la búsqueda de amenazas. También se aborda la importancia de utilizar la inteligencia sobre amenazas para la modelización de amenazas.
• Marco del programa de búsqueda de amenazas: comprender qué constituye un marco del programa de búsqueda de amenazas. Este módulo puede ser beneficioso para comprender los requisitos de un programa formal de búsqueda de amenazas.
• Impulsores operativos de la búsqueda de amenazas: comprender lo que se necesita de una función de misión de caza. Se proporciona un resumen de las áreas en las que una empresa debe tener las capacidades necesarias para llevar a cabo búsquedas eficaces de amenazas. Se habla de las ventajas de contar con estas funciones y retos si una organización tiene deficiencias en alguna de ellas.
• Marco de trabajo A4: este módulo presenta a los alumnos el marco A4 de búsqueda de amenazas. Este marco se refuerza para los alumnos a lo largo del resto del curso, ya que se utiliza como parte de todos los experimentos prácticos.
• Biblioteca de Threat Hunt: descubre la importancia de desarrollar y mantener una biblioteca de búsqueda de amenazas. Los alumnos pueden participar en ejercicios que reforzarán la importancia de desarrollar y mantener una biblioteca de búsqueda de amenazas. Como parte de los experimentos, se pedirá a los alumnos que desarrollen una biblioteca de búsqueda de amenazas que podrán llevarse consigo al finalizar el curso.
• Experimentos: los alumnos deberán completar varios experimentos en los que desarrollarán hipótesis y llevarán a cabo misiones de búsqueda, utilizando la inteligencia sobre amenazas, para situaciones específicas. A continuación, los alumnos tendrán acceso a un entorno en el que podrán llevar a cabo las misiones de búsqueda que diseñen.
• Caso de uso: comprender un resultado crítico de la búsqueda de amenazas. Comprender cómo se utilizan las misiones de búsqueda de amenazas para generar casos prácticos. Como parte de este módulo, ofreceremos una descripción general de las reglas de Sigma. A continuación, los alumnos pueden desarrollar casos prácticos en función de las misiones de búsqueda que hayan desarrollado como parte de los experimentos prácticos.

El contenido y el ritmo de este curso están destinados a buscadores de amenazas, profesionales de la seguridad de la información, encargados de responder a incidentes, investigadores de seguridad informática, investigadores corporativos y otras personas que necesitan conocer el modo en que se buscan las amenazas y los procesos que se realizan para llevar a cabo dicha búsqueda.

Formación presencial y virtual impartida por un profesor

• 3 días (entrega en persona)
• 4 días (entrega virtual)

Los alumnos deben llevar su propio ordenador portátil con el navegador más reciente que prefieran y con capacidad para conectarse a Internet. Los alumnos recibirán folletos de clase, credenciales temporales para acceder a Mandiant Advantage e instrucciones sobre cómo conectarse al entorno del experimento.