Practical Threat Hunting

El curso Practical Threat Hunting se diseñó para enseñar a los cazadores de amenazas y a los responsables de la respuesta ante incidentes los conceptos centrales del desarrollo y la ejecución de búsquedas de amenazas. En este curso, los estudiantes pueden aprender a hacer lo siguiente:

• Aplique los conceptos de inteligencia contra amenazas cibernéticas para buscar la actividad de los adversarios en tu entorno
• Establezca una metodología de caza repetible y desarrolle casos de uso de caza
• Aproveche los datos del endpoint para cazar
• Establecer medidas de eficacia para el programa de caza

Este curso incluye laboratorios prácticos que desafían a los estudiantes a desarrollar hipótesis y misiones de cacería para buscar evidencia de vulneración a través de múltiples escenarios, como la ingeniería social, el compromiso de la red y el sistema, y los perpetradores de Estados nación de APT. Los labs están diseñados para que los estudiantes puedan experimentar la cacería con entornos como la línea de comandos, los notebooks de Jupyter y herramientas forenses, como Velociraptor.

Requisitos previos: Los estudiantes deben tener conocimientos básicos de informática y sistemas operativos. No se requiere la programación en Python. Sin embargo, estar familiarizados con el lenguaje o los conceptos de programación ayudará a los estudiantes cuando trabajen en algunos de los labs.

El curso consta de los siguientes módulos y labs que se incluyen a través de las instrucciones.

• Introducción a Búsqueda de amenazas: comprende los conceptos centrales que constituyen la búsqueda de amenazas. Se proporciona una descripción general de las características de una caza de amenazas junto con los beneficios de realizar cazas de amenazas y también los desafíos que los cazadores de amenazas deben conocer. Se presenta a los estudiantes el concepto clave de aprovechar la inteligencia de amenazas.
• Introducción al modelado de amenazas: comprende por qué el modelado de amenazas es clave para cualquier búsqueda de amenazas eficaz. Se proporciona una descripción general de los conceptos básicos del modelado de amenazas. Luego, se proporciona a los estudiantes un desglose del flujo de trabajo del modelado de amenazas y cómo se vincula con la búsqueda de amenazas. También se analiza la importancia de usar inteligencia de amenazas para el modelado de amenazas.
• Framework del programa de búsqueda de amenazas: comprende qué constituye un framework de búsqueda de amenazas. Este módulo puede ser beneficioso para comprender los requisitos de un programa formal de búsqueda de amenazas.
• Controladores operativos de búsqueda de amenazas: comprende lo que se necesita de la capacidad de una misión de búsqueda. Se proporciona una descripción general de las áreas en las que una organización necesita tener la capacidad para ejecutar búsqueda de amenazas eficaces. Se realizan debates sobre los beneficios de contar con estas capacidades y desafíos si una organización tiene deficiencias en alguna de ellas.
• Framework A4: En este módulo, se presenta a los estudiantes el framework A4 de la búsqueda de amenazas. Este framework se refuerza para los estudiantes a lo largo del resto del curso, ya que se usa como parte de todos los labs prácticos.
• Biblioteca de Búsqueda de amenazas: Comprenda la importancia de desarrollar y mantener una biblioteca de Búsqueda de amenazas. Los estudiantes pueden participar en ejercicios que reforzarán la importancia de desarrollar y mantener una biblioteca sobre búsqueda de amenazas. Como parte de los labs, se les pedirá a los estudiantes que desarrollen una biblioteca sobre búsqueda de amenazas que puedan llevar con ellos al finalizar el curso.
• Labs: Se desafiará a los estudiantes a completar varios labs en los que desarrollarán hipótesis y buscarán misiones, con inteligencia sobre amenazas, para situaciones específicas. A continuación, los estudiantes tendrán acceso a un entorno en el que podrán llevar a cabo las misiones de búsqueda que hayan diseñado.
• Caso de uso: obtenga una comprensión del resultado crítico de la búsqueda de amenazas. Comprenda cómo se usan las misiones de búsqueda de amenazas para generar casos de uso. Como parte de este módulo, se proporcionará una descripción general de las reglas de Sigma. Luego, los estudiantes pueden desarrollar casos de uso en función de las misiones de búsqueda que desarrollaron como parte de los labs prácticos.

El contenido y el ritmo de este curso están destinados a cazadores de amenazas, profesionales de seguridad de la información, personal de respuesta a incidentes, investigadores de seguridad informática, investigadores corporativos u otros que requieran una comprensión de cómo se realiza la búsqueda de amenazas y los procesos involucrados en la búsqueda de amenazas.

Capacitación virtual y presencial dictada por un instructor

• 3 días (entrega en persona)
• 4 días (entrega virtual)

Los estudiantes deben traer su propia laptop con el navegador más reciente que hayan elegido y la capacidad de conectarse a Internet. Los estudiantes recibirán folletos de la clase, credenciales temporales para obtener acceso a Mandiant Advantage e instrucciones para conectarse al entorno del lab.