Свържете се с нас

Съдържание и теми, включени в курса

Въведение и ориентация в курса

  • Цели на курса, очаквани резултати и настройка на лабораторната среда
  • Архитектура на EDR на високо ниво и компоненти на OpenEDR
  • Преглед на рамката MITRE ATT&CK и основи на търсенето на заплахи

Внедряване на OpenEDR и събиране на телеметрия

  • Инсталиране и конфигуриране на агенти на OpenEDR на Windows крайни точки
  • Сървърни компоненти, канали за поглъщане на данни и съображения за съхранение
  • Конфигуриране на източници на телеметрия, нормализация и обогатяване на събития

Разбиране на телеметрията от крайни точки и моделиране на събития

  • Ключови типове събития от крайни точки, полета и как те се съпоставят с техниките на ATT&CK
  • Филтриране на събития, стратегии за корелация и техники за намаляване на шума
  • Създаване на надеждни сигнали за откриване от нискокачествена телеметрия

Картографиране на откритията към MITRE ATT&CK

  • Преобразуване на телеметрията в покритие на техниките на ATT&CK и пропуски в откриването
  • Използване на ATT&CK Navigator и документиране на решенията за картографиране
  • Приоритизиране на техники за търсене на база риск и наличност на телеметрия

Методологии за търсене на заплахи

  • Търсене, водено от хипотези, срещу разследвания, водени от индикатори
  • Разработка на планове за търсене и итеративни работни процеси за откриване
  • Практически лаборатории за търсене: идентифициране на модели на странично движение, установяване на устойчивост и повишаване на привилегии

Инженеринг на откриване и настройка

  • Проектиране на правила за откриване чрез корелация на събития и поведенчески базови линии
  • Тестване на правила, настройка за намаляване на фалшивите положителни резултати и измерване на ефективността
  • Създаване на сигнатури и аналитично съдържание за многократна употреба в средата

Реакция при инциденти и анализ на първопричините с OpenEDR

  • Използване на OpenEDR за триаж на сигнали, разследване на инциденти и времева линия на атаки
  • Събиране на артефакти за криминалистичен анализ, запазване на доказателства и съображения за веригата на попечителство
  • Интегриране на констатациите в планове за реакция при инциденти и работни процеси за отстраняване

Автоматизация, оркестрация и интеграция

  • Автоматизиране на рутинни търсения и обогатяване на сигнали чрез скриптове и конектори
  • Интегриране на OpenEDR с платформи SIEM, SOAR и разузнаване за заплахи
  • Мащабиране на телеметрията, съхранението и оперативни съображения за корпоративни внедрявания

Разширени случаи на употреба и сътрудничество с червен екип

  • Симулиране на поведение на противник за валидация: упражнения на лилав екип и емулация, базирана на ATT&CK
  • Казуси: реални търсения и анализи след инциденти
  • Проектиране на цикли за непрекъснато подобрение на покритието на откриване

Заключителна лабораторна работа и презентации

  • Направлявана заключителна задача: пълно търсене от хипотеза до ограничаване и анализ на първопричината чрез лабораторни сценарии
  • Презентации на участниците на констатациите и препоръчаните мерки за намаляване на риска
  • Приключване на курса, разпространение на материали и препоръчани следващи стъпки

Изисквания

  • Разбиране на основите на сигурността на крайните точки
  • Опит с анализ на логове и основно администриране на Linux/Windows
  • Познаване на често срещани техники за атака и концепции за реакция при инциденти

Аудитория

  • Анализатори в центрове за сигурност (SOC)
  • Ловци на заплахи и специалисти по реакция при инциденти
  • Инженери по сигурност, отговорни за инженеринг на откриване и телеметрия
 21 Часа

Брой участници


Цена за участник

Отзиви от участници (2)

Предстоящи Курсове

Свързани Kатегории