威脅搜尋實務

威脅搜尋實務課程的設計宗旨是讓威脅搜索專家與事件應變人員瞭解開發和執行威脅搜尋的核心概念。在本課程中，學生可以學到：

• 運用網路威脅情報概念，在環境中找出攻擊者活動
• 建立可重複搜尋的方法，並開發搜尋用途
• 運用端點資料搜尋
• 建立搜尋計畫的有效措施

這堂課程包含實作實驗室，挑戰學生開發假設和搜尋任務，以透過社交工程、網路與系統入侵及 APT 國家級駭客攻擊等多種情境，搜尋入侵證據。這些研究室旨在讓學生有機會使用指令列、Jupyter 筆記本和鑑識工具 (如 Velociraptor) 等環境，嘗試搜尋威脅。

必備條件：學生需具備電腦與作業系統的基礎知識。不需要使用 Python 程式設計；不過，熟悉語言或程式設計概念將有助於學生進行部分研究室活動。

本課程包含下列單元，以及與課程搭配的研究室實作。

• 威脅搜尋簡介 – 瞭解構成威脅搜尋的核心概念。提供威脅搜尋特性的總覽、執行威脅搜尋的優點，以及威脅搜尋專家應注意的挑戰。向學生介紹利用威脅情報的主要概念。
• 威脅模型簡介 – 瞭解為何威脅模型是任何有效威脅搜尋的關鍵。提供威脅模型的基本概念總覽。學生將會瞭解威脅模型的工作流程細目，以及其與威脅搜尋的關聯。此外，我們還會探討使用威脅情報建立威脅模型的重要性。
• 威脅搜尋計畫架構：瞭解構成威脅搜尋計畫架構的要素。此模組對於瞭解正式威脅搜尋計畫的要求很有用。
• 威脅搜尋作業驅動因素：瞭解在威脅任務中需要什麼能力。概述組織需要具備哪些領域的能力，以執行有效的威脅搜尋。探討具備這些能力的益處，以及組織缺乏這些能力時所面臨的挑戰。
• A4 架構：本單元向學生介紹威脅搜尋的 A4 架構。在接下來的課程中會為學生加強說明這個架構，因為這些架構是所有實作研究室的一部分。
• 威脅搜尋資料庫：瞭解開發和維護威脅搜尋資料庫的重要性。學生可以參與練習，並在這些練習中，進一步認識開發和維護威脅搜尋資料庫的重要性。在研究室實作中，我們將要求學生開發一個威脅搜尋資料庫，而且學生可以在課程結束時帶走該資料庫。
• 研究室：學生將挑戰並完成多個研究室實作。在實作中，學生要使用威脅情報，針對特定情境開發假設和搜尋任務。接著，學生將獲得環境的存取權限，可在環境中執行自己設計的搜尋任務。
• 使用案例：瞭解威脅搜尋的重大成果。瞭解威脅搜尋任務如何用於產生用途。我們會在本單元中概略介紹 Sigma 規則。學生接著可以根據自己在實作研究室中開發的搜尋任務，開發相關用途。

本課程的內容和講解速度適合威脅搜索專家、資安專業人員、事件應變人員、電腦安全性研究人員、企業調查人員，以及其他需要瞭解執行威脅搜索的方式和相關程序的人員。

由講師講解的現場和線上訓練課程

• 3 天 (現場授課)
• 4 天 (線上授課)

學生應攜帶自己的筆記型電腦，自行選擇瀏覽器並下載最新版本，同時能夠連上網際網路。學生將獲得課程講義、存取 Mandiant Advantage 的臨時憑證，以及如何連線至研究室環境的說明。