Windows Enterprise Incident Response

In diesem Kurs werden grundlegende Untersuchungstechniken vermittelt, mit denen Sie auf aktuelle Cyberbedrohungen reagieren können. Der kompakte Kurs basiert auf einer Reihe praxisorientierter Labs, in denen die Phasen eines gezielten Angriffs, Beweisquellen und Analyseprinzipien erläutert werden. Beispiele für die vermittelten Fähigkeiten sind die schnelle Triage im System, um festzustellen, ob es kompromittiert wurde, das Aufdecken von Beweisen für erste Angriffsvektoren, das Erkennen von Persistenzmechanismen und die Untersuchung von Vorfällen über das gesamte Unternehmen hinweg.

Der Kurs konzentriert sich zwar auf die Analyse von Windows-basierten Systemen und Servern, die Techniken und Untersuchungsprozesse sind jedoch auf alle Systeme und Anwendungen anwendbar. Der Kurs beinhaltet detaillierte Diskussionen über gängige Formen der forensischen Beweismittelerhebung an Endpunkten, in Netzwerken und in Dateien sowie deren Einschränkungen. Außerdem wird erläutert, wie sich Angreifende in einer kompromittierten Windows-Umgebung bewegen. Außerdem wird die Informationsverwaltung behandelt, die den Ermittlungsprozess bereichert und das Sicherheitsprogramm eines Unternehmens stärkt. Zu den Diskussionsthemen gehören die Eindämmung und Behebung eines Sicherheitsvorfalls sowie die Verbindung kurzfristiger Maßnahmen mit langfristigen Strategien, die die Widerstandsfähigkeit des Unternehmens verbessern.

Voraussetzungen: Vorkenntnisse in den Bereichen forensische Analysen, Netzwerkverkehrsanalyse, Protokollanalyse, Sicherheitsbewertungen und Penetrationstests oder Sicherheitsarchitektur und Systemverwaltung. Die Teilnehmenden müssen mit dem Windows-Betriebssystem, dem Dateisystem, dem Registry und der Verwendung der Befehlszeile vertraut sein. Kenntnisse von Active Directory und grundlegenden Windows-Sicherheitskontrollen sowie gängiger Netzwerkprotokolle sind von Vorteil.

Nach Abschluss dieses Kurses sollten die Lernenden Folgendes können:

• Den Prozess von Incident Response beschreiben, einschließlich der Bedrohungslandschaft, des Lebenszyklus der gezielten Angriffe, der von verschiedenen Hackergruppen verwendeten ersten Angriffsvektoren und der Phasen von effektivem Incident Response
• Eine Systemtriage durchführen, um wichtige Fragen darüber zu beantworten, was während eines Vorfalls im Unternehmen passiert ist
• Erkenntnisse anwenden, um eine gesamte Umgebung proaktiv und in großem Umfang auf Anzeichen von Manipulationen zu untersuchen (einschließlich Metadaten, Registry, Ereignisprotokolle, Dienste, Persistenzmechanismen und Ausführungsartefakte)
• Informationen zu laufenden Ermittlungen und Vorfällen verwalten und effektiv erfassen
• Die Rolle der Phase des Exports fehlender Daten bei einer Unternehmensuntersuchung verstehen
• Verstehen, wie nach Bedrohungen mithilfe von Threat Intelligence, Anomalieerkennung und Taktiken, Techniken und Verfahren (TTPs) bekannter Bedrohungsakteure gesucht wird

Incident-Response-Teammitglieder, Bedrohungsjäger und Experten für Informationssicherheit. 

Präsenzschulungen oder virtuelle Präsenzschulungen

• 3 Tage (Präsenzkurs)
• 4 Tage (virtueller Kurs)

Alle Lernenden müssen einen eigenen Laptop mitbringen, der folgende Voraussetzungen erfüllt:

• Windows 7+
• Core i5 oder gleichwertiger Prozessor
• 6 GB (vorzugsweise 8 GB) RAM
• 25 GB unbelegter HDD-Speicherplatz
• Virtuelle Maschinen sind zulässig, sofern mindestens 4 GB oder RAM zugewiesen werden kann
• Microsoft Office außerhalb der VM installiert
• Admin-/Installationsrechte

Die Teilnehmenden erhalten ein Lab-Buch und einen USB-Stick mit allen erforderlichen Kursmaterialien und Tools.