Windows Enterprise Incident Response

In diesem 24-stündigen Kurs werden grundlegende Untersuchungstechniken vermittelt, mit denen Sie auf aktuelle Cyberbedrohungen reagieren können. Der kompakte Kurs basiert auf einer Reihe praxisorientierter Labs, in denen die Phasen eines gezielten Angriffs, Beweisquellen und Analyseprinzipien erläutert werden. Beispiele für die vermittelten Fähigkeiten sind die schnelle Triage im System, um festzustellen, ob es kompromittiert wurde, das Aufdecken von Beweisen für erste Angriffsvektoren, das Erkennen von Persistenzmechanismen und die Untersuchung von Vorfällen über das gesamte Unternehmen hinweg.

Der Kurs konzentriert sich zwar auf die Analyse von Windows-basierten Systemen und Servern, die Techniken und Untersuchungsprozesse sind jedoch auf alle Systeme und Anwendungen anwendbar. Der Kurs beinhaltet detaillierte Diskussionen über gängige Formen der forensischen Beweiserhebung an Endpunkten, in Netzwerken und in Dateien sowie deren Einschränkungen. Außerdem wird erläutert, wie sich Angreifende in einer kompromittierten Windows-Umgebung bewegen. Außerdem wird die Informationsverwaltung behandelt, die den Ermittlungsprozess bereichert und das Sicherheitsprogramm eines Unternehmens stärkt. Zu den Diskussionsthemen gehören die Eindämmung und Behebung eines Sicherheitsvorfalls sowie die Verbindung kurzfristiger Maßnahmen mit langfristigen Strategien, die die Widerstandsfähigkeit des Unternehmens verbessern.

Nach Abschluss dieses Kurses sollten die Lernenden Folgendes können:

• Die sich entwickelnde Bedrohungslandschaft analysieren, indem aktuelle Trends und gängige Angriffsvektoren auf Umgebungen identifiziert werden
• Bei einer Untersuchung können Sie die gesammelten Beweise mit relevanten Bedrohungen korrelieren und die Ergebnisse branchenüblichen Frameworks für die Reaktion auf Vorfälle zuordnen.
• Die wichtigsten Phasen des Incident-Response-Prozesses im Falle eines Sicherheitsvorfalls effektiv durchführen
• Kommunikationswege, Verantwortlichkeiten im Team und Bereiche zur Verbesserung der Transparenz vor einem Vorfall identifizieren
• Sie lernen, verschiedene Erkennungsmethoden zu implementieren, Sicherheitsvorfälle genau einzugrenzen und umfassende forensische Analysen mit den verfügbaren Beweisquellen durchzuführen.
• Kompromittierte Systeme isolieren und Strategien entwickeln und implementieren, um Bedrohungen aus dem Unternehmensnetzwerk einzudämmen und zu beseitigen.
• Formulieren Sie auf der Grundlage der Analyse nach einem Vorfall umsetzbare Empfehlungen, um den allgemeinen Sicherheitsstatus des Unternehmens zu verbessern.

Incident-Response-Teammitglieder, Bedrohungsjäger und Experten für Informationssicherheit. Vorkenntnisse in den Bereichen forensische Analysen, Netzwerkverkehrsanalyse, Protokollanalyse, Sicherheitsbewertungen und Penetrationstests oder Sicherheitsarchitektur und Systemverwaltung. Die Teilnehmenden müssen mit dem Windows-Betriebssystem, dem Dateisystem, dem Registry und der Verwendung der Befehlszeile vertraut sein. Kenntnisse von Active Directory und grundlegenden Windows-Sicherheitskontrollen sowie gängiger Netzwerkprotokolle sind von Vorteil.

Präsenzschulungen oder virtuelle Präsenzschulungen

• 3 Tage (Präsenzkurs)
• 4 Tage (virtueller Kurs)

Die Teilnehmenden benötigen einen Laptop mit dem neuesten Browser ihrer Wahl und der Möglichkeit, eine Internetverbindung herzustellen.