Съдържание и теми, включени в курса
Въведение и ориентация в курса
- Цели на курса, очаквани резултати и настройка на лабораторната среда
- Архитектура на EDR на високо ниво и компоненти на OpenEDR
- Преглед на рамката MITRE ATT&CK и основи на търсенето на заплахи
Внедряване на OpenEDR и събиране на телеметрия
- Инсталиране и конфигуриране на агенти на OpenEDR на Windows крайни точки
- Сървърни компоненти, канали за поглъщане на данни и съображения за съхранение
- Конфигуриране на източници на телеметрия, нормализация и обогатяване на събития
Разбиране на телеметрията от крайни точки и моделиране на събития
- Ключови типове събития от крайни точки, полета и как те се съпоставят с техниките на ATT&CK
- Филтриране на събития, стратегии за корелация и техники за намаляване на шума
- Създаване на надеждни сигнали за откриване от нискокачествена телеметрия
Картографиране на откритията към MITRE ATT&CK
- Преобразуване на телеметрията в покритие на техниките на ATT&CK и пропуски в откриването
- Използване на ATT&CK Navigator и документиране на решенията за картографиране
- Приоритизиране на техники за търсене на база риск и наличност на телеметрия
Методологии за търсене на заплахи
- Търсене, водено от хипотези, срещу разследвания, водени от индикатори
- Разработка на планове за търсене и итеративни работни процеси за откриване
- Практически лаборатории за търсене: идентифициране на модели на странично движение, установяване на устойчивост и повишаване на привилегии
Инженеринг на откриване и настройка
- Проектиране на правила за откриване чрез корелация на събития и поведенчески базови линии
- Тестване на правила, настройка за намаляване на фалшивите положителни резултати и измерване на ефективността
- Създаване на сигнатури и аналитично съдържание за многократна употреба в средата
Реакция при инциденти и анализ на първопричините с OpenEDR
- Използване на OpenEDR за триаж на сигнали, разследване на инциденти и времева линия на атаки
- Събиране на артефакти за криминалистичен анализ, запазване на доказателства и съображения за веригата на попечителство
- Интегриране на констатациите в планове за реакция при инциденти и работни процеси за отстраняване
Автоматизация, оркестрация и интеграция
- Автоматизиране на рутинни търсения и обогатяване на сигнали чрез скриптове и конектори
- Интегриране на OpenEDR с платформи SIEM, SOAR и разузнаване за заплахи
- Мащабиране на телеметрията, съхранението и оперативни съображения за корпоративни внедрявания
Разширени случаи на употреба и сътрудничество с червен екип
- Симулиране на поведение на противник за валидация: упражнения на лилав екип и емулация, базирана на ATT&CK
- Казуси: реални търсения и анализи след инциденти
- Проектиране на цикли за непрекъснато подобрение на покритието на откриване
Заключителна лабораторна работа и презентации
- Направлявана заключителна задача: пълно търсене от хипотеза до ограничаване и анализ на първопричината чрез лабораторни сценарии
- Презентации на участниците на констатациите и препоръчаните мерки за намаляване на риска
- Приключване на курса, разпространение на материали и препоръчани следващи стъпки
Изисквания
- Разбиране на основите на сигурността на крайните точки
- Опит с анализ на логове и основно администриране на Linux/Windows
- Познаване на често срещани техники за атака и концепции за реакция при инциденти
Аудитория
- Анализатори в центрове за сигурност (SOC)
- Ловци на заплахи и специалисти по реакция при инциденти
- Инженери по сигурност, отговорни за инженеринг на откриване и телеметрия
Отзиви от участници (2)
Яснота и темп на обясненията
Federica Galeazzi - Aethra Telecomunications SRL
Курс - AI-Powered Cybersecurity: Advanced Threat Detection & Response
Машинен превод
Това ми даде необходимата информация :) Започвам да преподавам по квалификацията BTEC Level 3 и исках да разширя знанията си в тази област.
Otilia Pasareti - Merthyr College
Курс - Fundamentals of Corporate Cyber Warfare
Машинен превод