نوع آموزش: آفلاین
شکار تهدیدات | SANS FOR508: Advanced Incident Response
پشتیبانی: تیکتینگ
ارائه مدرک: ندارد
زبان آموزش:
فارسی/ انگلیسی
(طبق توضیحات)
بازگشت وجه:
طبق قوانین سایت
قیمت
-
FOR508.1: Advanced Incident Response & Threat Hunting
• Real Incident Response Tactics
• Preparation: Key tools, techniques, and procedures that an incident response team needs to respond properly to intrusions
• Identification/Scoping: Proper scoping of an incident and detecting all compromised systems in the enterprise
• Containment/Intelligence Development: Restricting access, monitoring, and learning about the adversary in order to develop threat intelligence
• Eradication/Remediation: Determining and executing key steps that must be taken to help stop the current incident
• Recovery: Recording of the threat intelligence to be used in the event of a similar adversary returning to the enterprise
• Avoiding “Whack-A-Mole” Incident Response: Going beyond immediate eradication without proper incident scoping/containment
• Threat Hunting
• Hunting versus Reactive Response
• Intelligence-Driven Incident Response
• Building a Continuous Incident Response/Threat Hunting Capability
• Forensic Analysis versus Threat Hunting across endpoints
• Threat Hunt Team Roles
• ATT&CK – MITRE’s Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK(TM))
• Threat Hunting in the Enterprise
• Identification of Compromised Systems
• Finding Active and Dormant Malware
• Digitally Signed Malware
• Malware Characteristics
• Common Hiding Mechanisms
• Finding Evil by Understanding Normal
• Understanding Common Windows Services and Processes
• svchost.exe Abuse
• Incident Response and Hunting across Endpoints
• WMIC & PowerShell
• Incident Response and Hunting Endpoint Collection with Kansa
• Malware Defense Evasion and Identification
• Service Hijacking/Replacement
• Frequent Compilation
• Binary Padding
• Packing/Armoring
• Dormant Malware
• Signing Code with Valid Cert
• Anti-Forensics/Timestomping
• Malware Persistence Identification
• AutoStart Locations, RunKeys
• Service Creation/Replacement
• Service Failure Recovery
• Scheduled Tasks
• DLL Hijacking
• WMI Event Consumers
• More Advanced – Local Group Policy, MS Office Add-In, or BIOS Flashing
• Investigating WMI-Based Attacks
• WMI Overview
• WMI Attacks Across the Kill Chain
• Auditing the WMI Repository
• WMI File System and Registry Residue
• Command-Line Analysis and WMI Logs
• WMI Process AnomaliesFOR508.2: Intrusion Analysis
• Stealing and Utilization of Legitimate Credentials
o Pass the Hash
o Single Sign On (SSO) Dumping using Mimikatz
o Token Stealing
o Cached Credentials
o LSA Secrets
o Kerberos Attacks
o NTDS.DIT theft
• Advanced Evidence of Execution Detection
o Attacker Tactics, Techniques, and Procedures (TTPs) overserved through process execution
o Prefetch Recovery and Analysis
o Application Compatibility Cache (ShimCache)
o Amcache Registry Examination
• Lateral Movement Adversary Tactics, Techniques, and Procedures (TTPs)
o Compromising Credentials Techniques
o Remote Desktop Services Misuse
o Windows Admin Share Abuse
o PsExec Utilization
o Windows Remote Management Tool Techniques
o PowerShell Remoting/WMIC Hacking
o Vulnerability Exploitation
• Log Analysis for Incident Responders and Hunters
o Profiling Account Usage and Logons
o Tracking and Hunting Lateral Movement
o Identifying Suspicious Services
o Detecting Rogue Application Installation
o Finding Malware Execution and Process Tracking
o Capturing Command Lines and Scripts
o Powershell Transcript and ScriptBlock Logging
o PowerShell Script Obfuscation
o WMI Activity Logging
o Anti-Forensics and Event Log ClearingFOR508.3: Memory Forensics in Incident Response & Threat Hunting
• Remote and Enterprise Incident Response
o Remote Endpoint Access in the Enterprise
o RemoteEndpoint Host-based Analysis
o Scalable Host-based Analysis (one analyst examining 1,000 systems) and Data Stacking
o Remote Memory Analysis
• Triage and Enpoint Detection and Reponse (EDR)
o Endpoint Triage Collection
o EDR Capabilities and Challenges
o EDR and Memory Forensics
• Memory Acquisition
o Acquisition of System Memory from both Windows 32/64 Bit Systems
o Hibernation and Pagefile Memory Extraction and Conversion
o Virtual Machine Memory Acquisition
o Memory changes in Windows 10
o Windows 10 Virtual Secure Mode
• Memory Forensics Analysis Process for Response and Hunting
o Identify Rogue Processes
o Analyze Process DLLs and Handles
o Review Network Artifacts
o Look for Evidence of Code Injection
o Check for Signs of a Rootkit
o Acquire Suspicious Processes and Drivers
• Memory Forensics Examinations
o Live Memory Forensics
o Advanced Memory Analysis with Volatility
o Webshell Detection Via Process Tree Analysis
o Code Injection, Malware, and Rootkit Hunting in Memory
o WMI and PowerShell Processes
o Extract Typed Adversary Command Lines
o Investigate Windows Services
o Hunting Malware Using Comparison Baseline Systems
o Find and Dump Cached Files from RAM
• Memory Analysis Tools
o Volatility
o Rekall & Google Rapid Response
o Comae Windows Memory ToolkitFOR508.4: Timeline Analysis
• Timeline Analysis Overview
o Timeline Benefits
o Prerequisite Knowledge
o Finding the Pivot Point
o Timeline Context Clues
o Timeline Analysis Process
• Memory Analysis Timeline Creation
o Memory Timelining
• Filesystem Timeline Creation and Analysis
o MACB Meaning by Filesystem
o Windows Time Rules (File Copy versus File Move)
o Filesystem Timeline Creation Using Sleuthkit and fls
o Bodyfile Analysis and Filtering Using the mactime Tool
• Super Timeline Creation and Analysis
o Super Timeline Artifact Rules
o Program Execution, File Knowledge, File Opening, File Deletion
o Timeline Creation with log2timeline/Plaso
o log2timeline Input Modules
o log2timeline Output Modules
o Filtering the Super Timeline Using psort
o Targeted Super Timeline Creation
o Automated Super Timeline Creation
o Super Tmeline Analysis
o Volume Shadow Copy TimeliningFOR508.5: Incident Response & Hunting Across the Enterprise | Advanced Adversary & Anti-Forensics Detection
• Cyber Threat Intelligence
o Importance of Cyber Threat Intelligence
o Understanding the “Kill Chain”
o Threat Intelligence Creation and Use During Incident Response and Threat Hunting
o Creation of Indicators of Compromise
o Incident Response Team Life-Cycle Overview
• Malware and Anti-Forensic Detection
o NTFS Filesystem Analysis
o Master File Table (MFT) Critical Areas
o NTFS System Files
o NTFS Metadata Attributes ($Standard_Information, $Filename, $Data)
o Rules of Windows Timestamps for $StdInfo and $Filename
o Timestomp detection via NTFS Timestamp Analysis
o Resident versus Nonresident Files
o Hidden data in Alternate Data Streams
o Finding Wiped/Deleted Files using Directory Listings and the $I30 file
o Filesystem Flight Recorders: Transaction Logging and the $Logfile and $UsnJrnl
o What Happens When Data Is Deleted from an NTFS Filesystem?
• Anti-Forensic Detection Methodologies
o MFT Anomalies
o Timeline Anomalies
o Deleted File
o Deleted Registry Keys
o File Wiping
o Adjusting Timestamps
• Identifying Compromised Hosts without Active Malware
o Rapid Data Triage Analysis
o Cyber Threat Intelligence and Indicators of Compromise Searching
o Evidence of Persistence
o Super-timeline Examination
o Packing/Entropy/Executable Anomaly/Density Checks
o System Logs
o Memory Analysis
o Malware IdentificationFOR508.6: The APT Threat Group Incident Response Challenge
•The Intrusion Forensic Challenge will ask each incident response team to analyze multiple systems in an enterprise network with many endpoints.
•During the challenge, each incident response team will be asked to answer key questions and address critical issues in the different categories listed below, just as they would during a real breach in their organizations:
IDENTIFICATION AND SCOPING:
1. How and when did the APT group breach our network?
2. List all compromised systems by IP address and specific evidence of compromise.
3. When and how did the attackers first laterally move to each system?
CONTAINMENT AND THREAT INTELLIGENCE GATHERING:
4. How and when did the attackers obtain domain administrator credentials?
5. Once on other systems, what did the attackers look for on each system?
6. Find extracted email from executive accounts and perform damage assessment.
7. Determine what was stolen: Recover any archives exfiltrated, find encoding passwords, and extract the contents to verify extracted data.
8. Collect and list all malware used in the attack.
9. Develop and present security intelligence and host and network based indicators of compromise describing attacker tradecraft.
REMEDIATION AND RECOVERY:
10. What level of account compromised occurred. Is a full password reset required during remediation?
11. Based on the attacker techniques and tools discovered during the incident, what are the recommended steps to remediate and recover from this incident?
a. What systems need to be rebuilt?
b. What IP addresses need to be blocked?
c. What countermeasures should we deploy to slow or stop these attackers if they come back?
d. What recommendations would you make to detect these intruders in our network again?
دوره آموزشی FOR508: Advanced Incident Response and Threat Hunting به شما کمک می کند:
تشخیص چگونگی و زمان وقوع نقض
به سرعت سیستم های آسیب دیده و آسیب دیده را شناسایی کنید
ارزیابی خسارت انجام دهید و مشخص کنید چه چیزی دزدیده شده یا تغییر کرده است
حوادث را مهار و اصلاح کنید
منابع کلیدی اطلاعات تهدید را توسعه دهید
با استفاده از دانش دشمن، نقض های اضافی را شناسایی کنید
روز 0: یک آژانس دولتی 3 حرفی با شما تماس می گیرد تا بگوید یک گروه تهدید پیشرفته سازمان هایی مانند شما را هدف قرار می دهد و احتمالاً سازمان شما یک هدف است. آنها نمی گویند چگونه می دانند، اما آنها مشکوک هستند که چندین سیستم نقض شده در شرکت شما وجود دارد. یک تهدید دائمی پیشرفته، با نام APT، احتمالاً دخیل است. این پیچیدهترین تهدیدی است که احتمالاً در تلاشهای خود برای دفاع از سیستمها و دادههای خود با آن روبهرو میشوید، و این دشمنان ممکن است ماهها یا حتی سالها به طور فعال شبکه شما را بهطور ناشناخته جستجو کنند.
این یک وضعیت فرضی است، اما این احتمال وجود دارد که تهدیدات پنهان از قبل در شبکه های سازمان شما وجود داشته باشد. سازمان ها نمی توانند باور کنند که اقدامات امنیتی آنها کامل و غیرقابل نفوذ است، صرف نظر از اینکه اقدامات احتیاطی امنیتی آنها چقدر ممکن است دقیق باشد. سیستم های پیشگیری به تنهایی برای مقابله با دشمنان انسانی متمرکزی که می دانند چگونه بیشتر ابزارهای امنیتی و نظارتی را دور بزنند، کافی نیستند.
نکته کلیدی این است که دائماً به دنبال حملاتی باشید که سیستمهای امنیتی را پشت سر میگذارند و نفوذهای در حال پیشرفت را شناسایی کنید، نه اینکه مهاجمان اهداف خود را تکمیل کرده و آسیب قابل توجهی به سازمان وارد کنند. برای واکنش دهنده حادثه، این فرآیند به عنوان “شکار تهدید” شناخته می شود. شکار تهدید از رفتارهای شناخته شده دشمن برای بررسی فعالانه شبکه و نقاط پایانی به منظور شناسایی نقضهای داده جدید استفاده میکند.
تاکتیکها و رویههای شکار تهدید و واکنش به حادثه در چند سال گذشته به سرعت تکامل یافتهاند. تیم شما دیگر نمیتواند از تکنیکهای قدیمی پاسخ به حادثه و شکار تهدید استفاده کند که نمیتواند به درستی سیستمهای در معرض خطر را شناسایی کند، کنترل ناکارآمدی را برای نقض فراهم میکند، و در نهایت نمیتواند به سرعت حادثه را اصلاح کند یا حاوی باجافزار در حال انتشار است. تیمهای پاسخ به رویداد و شکار تهدید، کلید شناسایی و مشاهده شاخصها و الگوهای فعالیت بدافزار به منظور تولید اطلاعات دقیق تهدید هستند که میتواند برای شناسایی نفوذهای فعلی و آتی مورد استفاده قرار گیرد.
این دوره آموزشی عمیق پاسخ به حادثه و شکار تهدید به پاسخ دهندگان و تیم های شکار تهدید مهارت های پیشرفته ای برای شکار، شناسایی، مقابله و بازیابی از طیف گسترده ای از تهدیدات در شبکه های سازمانی، از جمله دشمنان دولت-ملت APT، سندیکاهای جنایت سازمان یافته، ارائه می دهد. و سندیکاهای باج افزار. FOR508: FOR508: Advanced Incident Response and Threat Hunting که به طور مداوم به روز می شود، با ارائه تاکتیک ها و تکنیک های واکنش عملی به حادثه و شکار تهدید که پاسخ دهندگان و شکارچیان نخبه با موفقیت از آنها برای شناسایی، مقابله و پاسخ به موارد نقض در دنیای واقعی استفاده می کنند، به حوادث امروزی می پردازد.
این دوره از یک آزمایشگاه نفوذ سازمانی عملی استفاده می کند – که پس از یک حمله هدفمند در دنیای واقعی به یک شبکه سازمانی و بر اساس تاکتیک های پیشرفته عامل تهدید مدل سازی شده است – برای هدایت شما به چالش ها و راه حل ها از طریق استفاده گسترده از ایستگاه کاری SIFT و بهترین- ابزارهای تحقیقی از نژاد
در طول تمرینات آزمایشگاهی نفوذ و شکار تهدید، محل وقوع حمله هدفمند اولیه و نحوه حرکت حریف از طریق چندین سیستم در معرض خطر را شناسایی خواهید کرد. شما همچنین اطلاعات تهدیدات سایبری مهمی را استخراج و ایجاد خواهید کرد که می تواند به شما کمک کند تا به درستی مصالحه را بررسی کنید و نقض های آینده را شناسایی کنید.
در طول یک حمله هدفمند، یک سازمان به بهترین تیم واکنش به حوادث در این زمینه نیاز دارد. FOR508: Advanced Incident Response and Threat Hunting به شما و تیمتان آموزش می دهد تا به پاسخگویی، شناسایی، محدوده و توقف نفوذها و نقض داده ها بپردازید.
تیم واکنش به حادثه خود را جمع آوری کنید – وقت آن است که به شکار بروید
موضوعات دوره FOR508
استفاده پیشرفته از طیف وسیعی از بهترین ابزارهای منبع باز و ایستگاه کاری SIFT برای انجام پاسخ به حادثه و پزشکی قانونی دیجیتال.
شکار و پاسخ به دشمنان پیشرفته مانند بازیگران دولت-ملت، جنایات سازمان یافته و سندیکاهای باج افزار.
تکنیک های شکار تهدید که به شناسایی سریع تر نقض ها کمک می کند.
تجزیه و تحلیل واکنش سریع حادثه و ارزیابی نقض
روششناسی برخورد با رخداد و قانونشناسی نفوذ.
تجزیه و تحلیل سیستم پاسخگویی به حوادث از راه دور و سازمانی.
پاسخ رویداد زنده ویندوز و مقیاس بندی مجموعه داده های تریاژ.
ارزیابی های مصالحه ای را انجام دهید.
بررسی و مقابله با حملات زمینی، از جمله PowerShell و WMI.
تجزیه و تحلیل حافظه در هنگام واکنش به حادثه و شکار تهدید
انتقال مهارت های تحلیل حافظه به پلتفرم های تشخیص و پاسخ سازمانی (EDR).
دستورالعمل دقیق در مورد مصالحه و حفاظت از اعتبار سازمانی ویندوز.
تجزیه و تحلیل حرکت جانبی داخلی
- تحلیلگران Forensics
- هکرهای قانونمند
- کارشناسان امنیت
- مدیران امنیت اطلاعات
- کارشناسان واحد پاسخگویی به حوادث
- کارشناسان واحد مرکز عملیات امنیت
Sec 504: Hacker Techniques
Sec 500: Windows Forensics
حجم فایل ها
برای استفاده
قیمت
نقد و بررسیها
هنوز بررسیای ثبت نشده است.