جرم شناسی و آنالیز پیشرفته شبکه | SANS FOR572: Advanced Network Forensics

در FOR572، ما بر دانش لازم برای بررسی و توصیف ارتباطاتی که در گذشته رخ داده یا ادامه دارند تمرکز می کنیم. حتی اگر ماهرترین مهاجم از راه دور سیستمی را با یک اکسپلویت غیرقابل شناسایی به خطر بیاندازد، سیستم همچنان باید از طریق شبکه ارتباط برقرار کند. بدون فرمان و کنترل و کانال های استخراج داده، ارزش یک سیستم کامپیوتری در معرض خطر تقریباً به صفر می رسد. به عبارت دیگر: آدم های بد صحبت می کنند – ما به شما یاد می دهیم که گوش کنید.

این دوره ابزارها، فناوری و فرآیندهای مورد نیاز برای ادغام منابع شواهد شبکه در تحقیقات شما را با تمرکز بر کارایی و اثربخشی پوشش می دهد. شما این هفته را با یک جعبه ابزار مجهز و دانش استفاده از آن در اولین روز بازگشت به کار ترک خواهید کرد. ما طیف کاملی از شواهد شبکه را پوشش خواهیم داد، از جمله تجزیه و تحلیل NetFlow سطح بالا، کالبد شکافی مبتنی بر pcap سطح پایین، بررسی گزارش شبکه کمکی، و موارد دیگر. ما نحوه استفاده از دستگاه‌های زیرساختی موجود را که ممکن است حاوی ماه‌ها یا سال‌ها شواهد ارزشمند باشند و همچنین نحوه قرار دادن پلت‌فرم‌های جمع‌آوری جدید در حین وقوع حادثه را پوشش می‌دهیم.

چه مشاوری باشید که به سایت مشتری پاسخ می دهد، چه یک متخصص مجری قانون که به قربانیان جرایم سایبری کمک می کند و به دنبال پیگرد قانونی افراد مسئول هستید، یا یک پزشک قانونی در کارکنان، یا عضوی از رده های رو به رشد شکارچیان تهدید، این دوره تجربه عملی را ارائه می دهد. با سناریوهای دنیای واقعی که به شما کمک می کند تا کار شما را به سطح بعدی ببرید. دانش‌آموزان برنامه درسی قبلی SANS SEC و سایر مدافعان شبکه از دیدگاه FOR572 در مورد عملیات امنیتی بهره‌مند می‌شوند، زیرا مسئولیت‌های پاسخگویی به حادثه و مسئولیت‌های تحقیقاتی بیشتری را بر عهده می‌گیرند. فارغ التحصیلان SANS DFIR می توانند دانش سیستم عامل یا دستگاه موجود خود را بگیرند و مستقیماً آن را برای حملات مبتنی بر شبکه که روزانه رخ می دهند، اعمال کنند. در FOR572، ما همان کالیبر مشکلات دنیای واقعی را بدون استفاده از دیسک یا تصاویر حافظه حل می کنیم.

اکثر آزمایشگاه های عملی FOR572 همراه با آخرین نسخه FOR508، Advanced Incident Response، Threat Hunting و Digital Forensics توسعه یافته اند. در این سناریوهای مشترک، به سرعت یک رویکرد ترکیبی برای معاینه پزشکی قانونی که شامل مصنوعات میزبان و شبکه است، ایده آل است. اگرچه تمرکز اصلی ما بر روی طرف شبکه آن معادله است، ما به مناطقی اشاره خواهیم کرد که دیدگاه میزبان می‌تواند زمینه بیشتری را فراهم کند، یا دیدگاه شبکه بینش عمیق‌تری ارائه می‌دهد. هم دانش‌آموزان قبلی و هم دانشجویان آینده FOR508 از پیوند بین این مجموعه‌های شواهد گسترده قدردانی خواهند کرد.

آزمایشگاه‌های عملی در این کلاس طیف گسترده‌ای از ابزارها و پلتفرم‌ها، از جمله tcpdump و Wireshark را برای ضبط و تحلیل بسته‌ها پوشش می‌دهند. NetworkMiner برای استخراج مصنوعات؛ و ابزارهای منبع باز از جمله nfdump، tcpxtract، tcpflow و موارد دیگر. ابزارهای جدید اضافه شده در این دوره شامل پلتفرم رایگان و منبع باز SOF-ELK – یک دستگاه VMware از پیش پیکربندی شده با پیکربندی مناسب پشته Elastic است. این پلت فرم «داده بزرگ» شامل پایگاه داده ذخیره سازی و جستجو Elasticsearch، موتور جذب و تجزیه Logstash، و رابط داشبورد گرافیکی Kibana است. همراه با فایل های پیکربندی سفارشی SOF-ELK، این پلتفرم به متخصصین جنایی یک پلت فرم آماده برای استفاده برای تجزیه و تحلیل گزارش و NetFlow می دهد. برای تجزیه و تحلیل بسته کامل و شکار در مقیاس، پلت فرم رایگان و منبع باز Moloch نیز پوشش داده شده و در یک آزمایشگاه عملی استفاده می شود. از طریق تمام آزمایشگاه‌های کلاس، مهارت‌های اسکریپت نویسی پوسته به عنوان راه‌های سریع و آسان برای پاره کردن صدها هزار رکورد داده برجسته می‌شوند.

FOR572 یک دوره پیشرفته است – ما در روز اول به زمین زدیم. تمام مهارت‌های خود را بیاورید: تکنیک‌ها و روش‌های پزشکی قانونی، دانش شبکه کامل (از سیم تا سرویس‌های کاربر)، ابزارهای پوسته لینوکس، و همه چیز در این بین. همه آنها در طول دوره آموزشی برای شما مفید خواهند بود، زیرا شما با جنایت مبارزه می کنید. رخ دادن حوادث… یک بایت (یا بسته) در یک زمان.

• Foundational network forensics tools: tcpdump and Wireshark refresher
• Packet capture applications and data
• Unique considerations for network-focused forensic processes
  • Network evidence types and sources
  • Network architectural challenges and opportunities for investigators
  • Investigation OPSEC and footprint considerations
• Network protocol analysis
  • Hypertext Transfer Protocol (HTTP)
  • Domain Name Service (DNS)
  • File Transfer Protocol (FTP)
  • Server Message Block (SMB) and related Microsoft protocols
  • Simple Mail Transfer Protocol (SMTP)
• Commercial network forensic tools
• Automated tools and libraries
• NetFlow
  • Introduction
  • Collection approaches
  • Open-source NetFlow tools
• Wireless networking
  • Capturing wireless traffic
  • Useful forensic artifacts from wireless traffic
  • Common attack methods and detection
• Log data to supplement network examinations
  • Syslog
  • Microsoft Windows Event Forwarding
  • HTTP server logs
  • Firewalls, Intrusion Detection Systems (IDSes), and Network Security Monitoring (NSM) Platforms
  • Log collection, aggregation, and analysis
  • Web proxy server examination
• Encryption
  • Secure Sockets Layer (SSL) and Transport Layer Security (TLS)
  • Profiling TLS clients without interception
  • Introduction
  • Meddler-in-the-middle
  • Secure Sockets Layer (SSL) and Transport Layer Security (TLS)
• Deep packet work
  • Network protocol reverse engineering
  • Payload reconstruction