Windows Enterprise Incident Response

In diesem Kurs werden die grundlegenden Prüftechniken vermittelt, die erforderlich sind, um auf die heutigen Cyberbedrohungen zu reagieren. Der schnelle Kurs basiert auf einer Reihe von praxisorientierten Labs, in denen die Phasen eines gezielten Angriffs, die Quellen von Beweisen und die Prinzipien der Analyse erläutert werden. Beispiele für vermittelte Fähigkeiten sind die schnelle Sichtung eines Systems, um festzustellen, ob es gehackt wurde, Hinweise auf die ersten Angriffsvektoren aufdecken, Persistenzmechanismen erkennen und einen Vorfall im gesamten Unternehmen untersuchen.

Obwohl sich der Kurs auf die Analyse von Windows-basierten Systemen und Servern konzentriert, sind die Techniken und Untersuchungsprozesse auf alle Systeme und Anwendungen anwendbar. Der Kurs enthält detaillierte Diskussionen über gängige Formen der Erfassung forensischer Beweise auf Endpunkten, Netzwerken und Dateien sowie deren Einschränkungen. Außerdem wird erläutert, wie Angreifer sich in einer manipulierten Windows-Umgebung bewegen. Der Kurs befasst sich auch mit dem Informationsmanagement, das den Untersuchungsprozess bereichert und ein Sicherheitsprogramm für Unternehmen stärkt. Zu den Diskussionsthemen gehören die Eindämmung und Behebung eines Sicherheitsvorfalls sowie die Verbindung kurzfristiger Maßnahmen mit längerfristigen Strategien, die die Resilienz der Organisation verbessern.

Voraussetzungen: Erfahrung in der forensischen Analyse, der Analyse des Netzwerkverkehrs, der Protokollanalyse, Sicherheitsbewertungen und Penetrationstests oder in der Sicherheitsarchitektur und Systemverwaltung. Die Lernenden müssen mit dem Windows-Betriebssystem, dem Dateisystem, der Registrierung und der Verwendung der Befehlszeile vertraut sein. Es ist von Vorteil, mit Active Directory und den grundlegenden Windows-Sicherheitsfunktionen sowie mit gängigen Netzwerkprotokollen vertraut zu sein.

Nach Abschluss dieses Kurses sollten die Lernenden Folgendes können:

• Den Prozess von Incident Response beschreiben, einschließlich der Bedrohungslandschaft, des Lebenszyklus der gezielten Angriffe, der von verschiedenen Hackergruppen verwendeten ersten Angriffsvektoren und der Phasen von effektivem Incident Response
• Systemtriage durchführen, um wichtige Fragen dazu zu beantworten, was während eines Vorfalls im gesamten Unternehmen passiert ist
• Wenden Sie die gewonnenen Erkenntnisse an, um eine gesamte Umgebung (einschließlich Metadaten, Registry, Ereignisprotokolle, Dienste, Persistenzmechanismen und Ausführungsartefakten) proaktiv und in großem Umfang auf Anzeichen eines Angriffs zu untersuchen.
• Informationen zu laufenden Untersuchungen und Vorfällen verwalten und effektiv aufzeichnen
• Die Rolle der Abhilfephase in einer unternehmensbezogenen Untersuchung verstehen
• Verstehen, wie nach Bedrohungen mithilfe von Threat Intelligence, Anomalieerkennung und Taktiken, Techniken und Verfahren (TTPs) bekannter Bedrohungsakteure gesucht wird

Incident-Response-Teammitglieder, Bedrohungssuchende und Experten für Informationssicherheit. 

Präsenzschulungen oder virtuelle Präsenzschulungen

• 3 Tage (Präsenzkurs)
• 4 Tage (virtueller Kurs)

Alle Lernenden müssen einen eigenen Laptop mitbringen, der folgende Voraussetzungen erfüllt:

• Windows 7+
• Core i5 oder gleichwertiger Prozessor
• 6 GB (vorzugsweise 8 GB) RAM
• 25 GB freier HDD-Speicherplatz
• Virtuelle Maschinen sind zulässig, sofern mindestens 4 GB oder RAM zugewiesen werden kann
• Microsoft Office wurde außerhalb der VM installiert
• Administrator-/Installationsrechte

Die Teilnehmer erhalten ein Lab-Buch und einen USB-Stick mit allen erforderlichen Kursmaterialien und Werkzeugen.