Windows Enterprise Incident Response

Kursus ini dirancang untuk mengajarkan teknik investigasi dasar yang diperlukan untuk merespons ancaman cyber saat ini. Kursus singkat ini disusun berdasarkan serangkaian lab interaktif yang menyoroti berbagai fase serangan yang ditargetkan, sumber bukti, dan prinsip analisis. Contoh keterampilan yang diajarkan antara lain cara melakukan triase cepat dalam sistem untuk menentukan apakah sistem disusupi, mengungkap bukti vektor serangan awal, mengenali mekanisme persistensi, dan menyelidiki insiden di seluruh perusahaan.

Meskipun pelatihan ini difokuskan pada analisis sistem dan server berbasis Windows, teknik dan proses investigasi berlaku untuk semua sistem dan aplikasi. Kursus ini mencakup pembahasan terperinci tentang bentuk umum pengumpulan bukti forensik berbasis endpoint, jaringan, dan file beserta keterbatasannya serta bagaimana penyerang bergerak di lingkungan Windows yang telah disusupi. Kursus ini juga mengeksplorasi manajemen informasi yang memperkaya proses investigasi dan mendukung program keamanan perusahaan. Topik diskusi meliputi pembatasan dan perbaikan insiden keamanan, serta hubungan tindakan jangka pendek dengan strategi jangka panjang yang meningkatkan ketahanan organisasi.

Prasyarat: Latar belakang melakukan analisis forensik, analisis lalu lintas jaringan, analisis log, penilaian keamanan dan uji penetrasi, atau arsitektur keamanan dan administrasi sistem. Peserta harus memiliki pemahaman yang baik tentang sistem operasi Windows, sistem file, registry, dan penggunaan command line. Pemahaman tentang Active Directory dan kontrol keamanan Windows dasar, ditambah protokol jaringan yang umum akan sangat bermanfaat.

Setelah menyelesaikan materi ini, peserta harus dapat:

• Menjelaskan proses respons insiden, termasuk lanskap ancaman, siklus proses serangan yang ditargetkan, vektor serangan awal yang digunakan oleh berbagai pelaku ancaman, dan fase proses respons insiden yang efektif
• Melakukan triase sistem untuk menjawab pertanyaan kunci tentang apa yang terjadi di seluruh perusahaan saat insiden
• Menerapkan pelajaran yang dipelajari untuk menyelidiki seluruh lingkungan secara proaktif (termasuk metadata, registry, log peristiwa, layanan, mekanisme persistensi, dan artefak eksekusi) dalam skala besar untuk mendeteksi tanda-tanda penyusupan
• Mengelola dan mencatat informasi yang terkait dengan investigasi dan insiden yang sedang berlangsung secara efektif
• Memahami peran fase perbaikan dalam penyelidikan perusahaan
• Memahami cara memburu ancaman menggunakan kecerdasan ancaman, deteksi anomali, dan taktik, teknik, dan prosedur (TTP) pelaku ancaman yang diketahui

Anggota tim tanggap insiden, pemburu ancaman, dan profesional keamanan informasi. 

Pelatihan dalam kelas atau virtual yang dipandu instruktur.

• 3 hari (penyampaian secara langsung)
• 4 hari (penyampaian virtual)

Siswa wajib membawa laptop sendiri yang memenuhi spesifikasi berikut:

• Windows 7+
• Core i5 atau prosesor yang setara
• RAM 6 GB (direkomendasikan 8 GB)
• 25 GB ruang HDD kosong
• Mesin virtual dapat diterima asalkan setidaknya 4 GB atau RAM dapat dialokasikan
• Microsoft Office yang diinstal di luar VM
• Hak admin/instal

Peserta didik akan menerima buku lab dan USB thumb drive yang berisi semua alat dan materi kelas yang diperlukan.