Risposta agli incidenti di Windows Enterprise

Questo corso è stato progettato per insegnare le tecniche di indagine fondamentali, necessarie per rispondere alle minacce informatiche di oggi. Il corso veloce si basa su una serie di lab pratici che evidenziano le fasi di un attacco mirato, le fonti di prova e i principi di analisi. Si acquisiranno competenze quali l'esecuzione di un rapido controllo del sistema per determinare se è stato compromesso, il rilevamento di segnali di vettori di attacco iniziali, il riconoscimento dei meccanismi di persistenza e l'indagine su un incidente nell'intera azienda.

Sebbene il corso sia incentrato sull'analisi dei sistemi e dei server basati su Windows, le tecniche e i processi investigativi sono applicabili a qualsiasi sistema e applicazione. Il corso include descrizioni dettagliate delle forme comuni di raccolta di prove forensi basate su endpoint, reti e file e dei loro limiti, nonché del modo in cui gli aggressori si spostano in un ambiente Windows compromesso. Il corso illustra anche la gestione delle informazioni che arricchisce il processo di indagine e rafforza un programma di sicurezza aziendale. Gli argomenti di discussione includono il contenimento e la correzione di un incidente di sicurezza e il collegamento tra le azioni a breve termine e le strategie più a lungo termine che migliorano la resilienza dell’organizzazione.

Prerequisito: esperienza nell'esecuzione di analisi forensi, analisi del traffico di rete, analisi dei log, valutazioni di sicurezza e test di penetrazione o architettura di sicurezza e amministrazione di sistema. Gli studenti devono avere una buona conoscenza del sistema operativo Windows, del file system e del registro di sistema, nonché dell'utilizzo della riga di comando. È vantaggiosa una certa familiarità con Active Directory, i controlli di sicurezza di base di Windows e i protocolli di rete più comuni.

Al termine del corso, gli studenti dovrebbero essere in grado di:

• Descrivere il processo di risposta agli incidenti, compresi il panorama delle minacce, il ciclo di vita di un attacco mirato, i vettori di attacco iniziali utilizzati da vari soggetti malintenzionati e le fasi di un processo efficace di risposta agli incidenti
• Eseguire una valutazione del sistema per rispondere a domande chiave su ciò che è accaduto all’interno dell’azienda durante un incidente
• Applicare quanto appreso per eseguire proattivamente un'indagine in un intero ambiente (inclusi metadati, registro, log eventi, servizi, meccanismi di persistenza e artefatti di esecuzione) su larga scala per individuare segnali di compromissione
• Gestire e registrare in modo efficace le informazioni relative agli incidenti e alle indagini in corso
• Comprendere il ruolo della fase di correzione in un’indagine aziendale
• Capire come ricercare le minacce utilizzando l’intelligence sulle minacce, il rilevamento di anomalie e le tattiche, tecniche e procedure (TTP) note dei soggetti malintenzionati

Membri del team di risposta agli eventi, cacciatori di minacce e professionisti della sicurezza delle informazioni. 

Formazione con istruttore (ILT) in aula o virtuale.

• 3 giorni (formazione in presenza)
• 4 giorni (formazione virtuale)

Gli studenti devono portare con sé un laptop che soddisfi le seguenti specifiche:

• Windows 7 o versioni successive
• Core i5 o processore equivalente
• 6 GB (preferibilmente 8 GB) di RAM
• 25 GB di spazio libero su HDD
• Le macchine virtuali sono accettabili purché sia possibile allocare almeno 4 GB di RAM
• Microsoft Office installato all'esterno della VM
• Diritti di amministrazione/installazione

Gli studenti riceveranno un manuale del lab e una chiavetta USB contenente tutti i materiali e gli strumenti necessari per il corso.