Detecção de ameaças na prática

O curso Practical Threat Hunting foi desenvolvido para ensinar aos caçadores de ameaças e aos responsáveis pela resposta a incidentes os principais conceitos de desenvolvimento e execução de buscas por ameaças. Neste curso, os estudantes podem aprender a:

• Aplicar conceitos de inteligência sobre ameaças cibernéticas para caçar atividades adversárias no seu ambiente
• Estabelecer uma metodologia de hunting repetível e desenvolver casos de uso de hunting
• Aproveitar os dados de endpoint para buscar
• Estabelecer medidas de eficácia para o programa de caça

Este curso inclui laboratórios práticos que desafiam os alunos a desenvolver hipóteses e missões de caça, a fim de buscar evidências de comprometimento por meio de vários cenários, incluindo engenharia social, comprometimento de redes e sistemas e agentes de países APT. Os laboratórios foram criados para que os estudantes tenham a oportunidade de experimentar a caça com ambientes como a linha de comando, o Jupyter Notebook e ferramentas forenses, como o Velociraptor.

Pré-requisitos: os alunos precisam ter conhecimentos básicos de computadores e sistemas operacionais. A programação em Python não é necessária. mas a familiaridade com a linguagem ou com os conceitos de programação ajudará os estudantes a fazer alguns dos laboratórios.

O curso é composto pelos módulos a seguir, com laboratórios incluídos nas instruções.

• Introdução à caça a ameaças – Compreenda os principais conceitos que constituem a busca de ameaças. Uma visão geral das características de uma hunting de ameaças é fornecida juntamente com os benefícios da realização de hunts de ameaças e também os desafios dos quais os caçadores de ameaças devem estar cientes. O conceito principal de aproveitar a inteligência de ameaças é apresentado aos estudantes.
• Introdução à modelagem de ameaças – Compreenda como a modelagem de ameaças é fundamental para qualquer hunting de ameaças eficaz. Uma visão geral é fornecida dos fundamentos da modelagem de ameaças. Os estudantes recebem, então, uma análise do fluxo de trabalho da modelagem de ameaças e como ela se relaciona com a busca de ameaças. A importância de usar a inteligência de ameaças para modelagem de ameaças também é discutida.
• Estrutura do programa de caça a ameaças - Compreenda o que constitui uma estrutura do programa de busca de ameaças. Este módulo pode ser útil para entender os requisitos de um programa formal de busca de ameaças.
• Impulsionadores operacionais de busca de ameaças - Compreendam o que é necessário para a capacidade de uma missão de hunting. É fornecida uma visão geral das áreas nas quais uma organização precisa ter capacidades para executar buscas de ameaças eficazes. São realizadas discussões sobre os benefícios de ter essas capacidades e desafios se uma organização for deficiente em alguma delas.
• Framework A4 – Este módulo apresenta aos alunos a estrutura A4 de caça a ameaças. Essa estrutura é reforçada para os alunos ao longo do restante do curso porque é usada em todos os laboratórios práticos.
• Biblioteca Threat Hunt – Compreenda a importância de desenvolver e manter uma biblioteca Threat Hunt. Os alunos podem participar de exercícios que reforçarão a importância de desenvolver e manter uma biblioteca de busca de ameaças. Como parte dos laboratórios, os alunos serão solicitados a desenvolver uma biblioteca de busca de ameaças que possam levar com eles ao final do curso.
• Laboratórios – Os alunos serão desafiados a concluir vários laboratórios nos quais desenvolverão hipóteses e missões de hunting, usando inteligência sobre ameaças, para cenários específicos. Os estudantes terão acesso a um ambiente no qual poderão realizar as missões de hunting que eles projetaram.
• Caso de uso – Obtenha uma compreensão de um resultado crítico de buscas por ameaças. Entenda como as missões de busca de ameaças são usadas para gerar casos de uso. Neste módulo, vamos fornecer uma visão geral das regras do Sigma. Depois, os estudantes podem desenvolver casos de uso com base nas missões de hunting que desenvolveram como parte dos laboratórios práticos.

O conteúdo e o ritmo deste curso destinam-se a caçadores de ameaças, profissionais de segurança da informação, encarregados de resposta a incidentes, pesquisadores de segurança de computadores, investigadores corporativos ou outros que precisem de uma compreensão de como a busca de ameaças é realizada e dos processos envolvidos na realização de caça a ameaças.

Treinamento virtual e presencial com instrutor

• 3 dias (presencial)
• 4 dias (virtual)

Os estudantes devem trazer seu próprio laptop com o navegador mais recente de sua preferência e conexão à Internet. Os alunos receberão folhetos da classe, credenciais temporárias para obter acesso ao Mandiant Advantage e instruções sobre como se conectar ao ambiente do laboratório.