Windows Enterprise Incident Response（Windows 企业突发事件响应）

本课程旨在讲授应对当今网络威胁所需的基本调查技术。这门快节奏的课程建立在一系列动手实验的基础上，重点涵盖定向攻击的各个阶段、证据来源和分析原则。讲授的技能示例包括如何对系统进行快速分类以确定其是否遭到入侵、发现初始攻击途径的证据、识别驻留机制以及调查整个企业中的突发事件。

虽然本课程的重点是分析基于 Windows 的系统和服务器，但涵盖的技术和调查过程也适用于所有系统和应用。本课程详细讨论了基于端点、网络和文件的取证证据收集的常见形式和它们的局限性，以及攻击者如何在遭入侵的 Windows 环境中移动。本课程还探讨了丰富调查过程并增强企业安全计划的信息管理。相关讨论主题包括对安全事件的遏制和补救，以及短期行动与提高组织弹性的长期策略之间的联系。

前提条件：具备进行取证分析、网络流量分析、日志分析、安全评估和渗透测试或安全架构和系统管理的背景。学员必须对 Windows 操作系统、文件系统、注册表以及命令行的使用有实际的了解。熟悉 Active Directory 和基本的 Windows 安全控制以及常用的网络协议会有好处。

完成本课程后，学员应该能够：

• 描述突发事件响应流程，包括威胁态势、定向攻击生命周期、不同威胁行为者使用的初始攻击途径，以及有效突发事件响应流程的各个阶段
• 进行系统分类，以解答关键问题，了解突发事件期间在整个企业范围内发生的情况
• 运用学到的经验教训，主动大规模调查整个环境（包括元数据、注册表、事件日志、服务、驻留机制和执行工件），以寻找入侵迹象
• 管理并有效记录与正在进行的调查和突发事件相关的信息
• 了解补救阶段在企业调查中的作用
• 了解如何利用威胁情报、异常值检测和已知威胁行为者的策略、技术和流程 (TTP) 搜寻威胁

突发事件响应团队成员、威胁猎手和信息安全专业人员。 

讲师主导的线下培训或线上培训。

• 3 天（线下授课）
• 4 天（线上授课）

学生必须自带符合以下规格的笔记本电脑：

• Windows 7+
• Core i5 处理器或同等级处理器
• 6 GB（最好为 8 GB）RAM
• 25 GB 可用 HDD 空间
• 可以使用虚拟机，前提是 RAM 至少为 4 GB 或可以分配 RAM
• 在虚拟机外安装 Microsoft Office
• 管理员/安装权限

学员将获得一本实验书和一个 U 盘，其中包含所有需要的课程资料和工具。