Windows Enterprise Incident Response

Este curso está diseñado para enseñar las técnicas fundamentales de investigación necesarias para responder a las amenazas cibernéticas de la actualidad. El curso acelerado se basa en una serie de labs prácticos que destacan las fases de un ataque dirigido, fuentes de evidencia y principios de análisis. Los ejemplos de las habilidades que se enseñan incluyen cómo realizar una evaluación rápida de un sistema para determinar si está comprometido, descubrir evidencia de vectores de ataque iniciales, reconocer mecanismos de persistencia e investigar un incidente en toda la empresa.

Aunque el curso se centra en el análisis de sistemas y servidores basados en Windows, las técnicas y los procesos de investigación se pueden aplicar a todos los sistemas y aplicaciones. El curso incluye debates detallados sobre las formas comunes de recopilación de evidencia forense basada en endpoints, redes y archivos y sus limitaciones, así como la forma en que los atacantes se desplazan en un entorno de Windows comprometido. El curso también explora la gestión de la información que enriquece el proceso de investigación y refuerza un programa de seguridad empresarial. Los temas de debate incluyen la contención y corrección de un incidente de seguridad y la conexión de acciones a corto plazo con estrategias a largo plazo que mejoran la resiliencia de la organización.

Requisitos previos: Experiencia en la realización de análisis forenses, análisis del tráfico de red, análisis de registros, evaluaciones de seguridad y pruebas de penetración, o arquitectura de seguridad y administración de sistemas. Los estudiantes deben tener conocimientos profundos del sistema operativo Windows, el sistema de archivos, el registro y el uso de la línea de comandos. Se recomienda estar familiarizado con Active Directory y los controles de seguridad básicos de Windows, además de los protocolos de red comunes.

Después de completar este curso, los estudiantes deberían poder hacer lo siguiente:

• Describir el proceso de respuesta ante incidentes, incluido el panorama de amenazas, el ciclo de vida del ataque específico, los vectores del ataque inicial usados por diferentes perpetradores y las fases de un proceso eficaz de respuesta ante incidentes
• Realizar una evaluación del sistema para responder preguntas clave sobre lo que sucedió en toda la empresa durante un incidente
• Aplique las lecciones aprendidas para investigar proactivamente todo un entorno (incluidos metadatos, registro, registros de eventos, servicios, mecanismos de persistencia y artefactos de ejecución) a gran escala para detectar señales de vulneración
• Administrar y registrar eficazmente la información relacionada con investigaciones e incidentes en curso
• Comprender el rol de la fase de remediación en una investigación empresarial
• Comprender cómo cazar amenazas con inteligencia de amenazas, detección de anomalías y tácticas, técnicas y procedimientos (TTP) conocidos de los actores de amenazas

Miembros del equipo de respuesta ante incidentes, cazadores de amenazas y profesionales de seguridad de la información. 

Capacitación virtual o presencial dictada por un instructor.

• 3 días (entrega en persona)
• 4 días (entrega virtual)

Los estudiantes deben traer sus propias laptops que cumplan con las siguientes especificaciones:

• Windows 7 o versión posterior
• Procesador Core i5 o equivalente
• 6 GB (preferentemente 8 GB) de RAM
• 25 GB de espacio en HDD gratuito
• Se admiten máquinas virtuales, siempre y cuando se asignen al menos 4 GB o de RAM.
• Microsoft Office instalado fuera de la VM
• Derechos de administrador o de instalación

Los alumnos recibirán un libro de lab y una memoria USB con todo el material y las herramientas de la clase.