Windows Enterprise 事件應變

本課程旨在教授應對當今網路威脅所需的基本調查技巧。這個內容緊湊的課程是以一系列實作研究室為基礎，並聚焦於針對性攻擊的各個階段、證據來源和分析原則。課程教授的技能範例包括如何快速在系統上鑑別以確定是否遭入侵、找出初始攻擊向量的證據、辨識持續運作機制，以及調查整個企業中發生的事件。

雖然本課程的重點在於分析 Windows 系統和伺服器，但這些技巧和調查程序適用於所有系統和應用程式。本課程會針對幾種常見端點、網路和檔案的鑑識證據收集作業及其限制，以及攻擊者如何在遭入侵的 Windows 環境中四處移動等主題，進行詳細討論。本課程也會探討有助於充實調查程序，並強化企業安全性計畫的資訊管理方式。討論主題包括資安事件的阻隔和修復作業，以及將短期行動與可提高機構韌性的長期策略相互連結。

必要條件：具備鑑識分析、網路流量分析、記錄檔分析、安全性評估和滲透測試，或安全性架構和系統管理等方面的背景。學員必須對 Windows 作業系統、檔案系統、登錄檔和指令列用法有熟悉的理解。熟悉 Active Directory、Windows 基本安全性控制，以及常見的網路通訊協定等，也會有幫助。

完成本課程後，學員就能：

• 說明事件應變程序，包括威脅情勢、針對性攻擊生命週期、不同威脅發動者使用的初始攻擊向量，以及有效事件應變程序的各個階段
• 進行系統鑑別，以便在事件發生期間回答關於整個企業內發生什麼情況的關鍵問題
• 運用所學知識主動大規模調查整個環境 (包括中繼資料、登錄、事件日誌、服務、持續運行機制及執行構件)，確認是否出現入侵活動的跡象
• 管理及有效記錄進行中調查作業和資安事件的相關資訊
• 瞭解修復階段在企業調查作業中扮演的角色
• 瞭解如何運用威脅情報、異常偵測結果，以及已知的威脅發動者戰術、技巧和程序 (TTP) 來搜索威脅

事件應變團隊成員、威脅搜索專家及資訊安全專家。

由講師講解的現場或線上訓練課程。

• 3 天 (現場授課)
• 4 天 (線上授課)

學生必須自備符合下列規格的筆記型電腦：

• Windows 7+
• Core i5 或同等級處理器
• 6 GB (建議 8 GB) RAM
• 25 GB 可用 HDD 空間
• 虛擬機器可接受的最低需求為至少可分配到 4 GB RAM
• 安裝在 VM 外的 Microsoft Office
• 管理員/安裝權限

學員會獲得一本研究室參考書籍和一個 USB 隨身碟，內含所有必要的課程教材和工具。