Threat Hunting Using Sysmon

  • متوسط
  • مسیر آبی
  • ۸ درس
مهلت ثبت نام:
  :    :  
۴,۳۰۰,۰۰۰ تومان
ثبت نام سازمانی این دوره
تاریخ شروع
۱۶ اردیبهشت ۱۴۰۳
طول دوره
۲۴ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۲۰ نفر باقی مانده
نوع برگزاری
حضوری

درباره‌ی این دوره

با پیچیده‌تر شدن تهدیدهای سایبری و به‌طور خاص تهدیدهای APT در سال‌های اخیر، راهکارها و تخصص‌های دفاعی جدیدی در‌حال شکل‌گیری و پررنگ شدن هستند تا بتوان با این تهدیدهای مدرن، به شکل مؤثرتری مقابله کرد. یکی از مهم‌ترین این موارد «شکار تهدیدهای سایبری» است. در واقع شکارچیان تهدیدهای سایبری، متخصص‌های امنیتی هستند که به‌صورت فعال و مداوم به‌دنبال شناسایی، ایزوله و خنثی‌سازی تهدیدهای پیشرفته‌ای هستند که از دید تجهیزات و راهکارهای تجاری امنیت سازمان دور مانده‌اند.

یک شکارچی تهدیدهای سایبری علاوه‌بر دیدگاه درست امنیتی، به تکنیک‌ها و ابزارهای مختلفی برای شناسایی تهدیدهای موجود در زیرساخت سازمان نیاز دارد. یکی از پرکاربردترین ابزارهای مورد استفاده در شکار تهدیدهای سایبری در زیرساخت‌های مایکروسافتی، Sysmon نام دارد که در این دوره، به معرفی و آموزش بهره‌برداری از آن پرداخته خواهد شد. Sysmon بخشی از مجموعه ابزارهای Sysinternals ویندوز است که به‌صورت سرویس یا درایور بر روی سیستم‌عامل نصب می‌شود.

با استفاده از این ابزار می‌توان وقایع مختلفی در خصوص پروسس‌ها، ارتباطات شبکه‌ای، وقایع سیستمی، تغییرات در فایل‌ها و بسیاری موارد دیگر را با جزئیات کامل ثبت و به‌منظور تحلیل‌های بیشتر، به سامانه‌ی SIEM ارسال کرد. با حضور در این کارگاه، ضمن آشنایی با Sysmon، مواردی مانند پیکربندی Sysmon، ساختار و گام‌های امنیت سایبری، مفاهیم شکار تهدیدهای سایبری، ساختار Event IDهای ویندوز، شناسایی حمله‌های سایبری و بسیاری از موارد دیگر را به‌صورت عملی خواهید آموخت. همچنین، چندین سناریوی حمله‌های سایبری در دنیای واقعی و شیوه‌ی شکار آن‌ها را در کنار هم تحلیل خواهیم کرد.

مدت‌زمان این دوره ۲۴ ساعت که طی ۸ جلسه‌ی ۳‌ساعته، روزهای یکشنبه و چهارشنبه‌ی هر هفته از ساعت ۱۷:۰۰ تا ۲۰:۰۰، به‌صورت حضوری و آنلاین در آکادمی راوین برگزار خواهد شد. شروع این دوره از یکشنبه ۱۶ اردیبهشت ۱۴۰۳ خواهد بود.
آدرس: خیابان مطهری،‌ خیابان سلیمان‌خاطر، بین کوچه‌ی مسجد و گروس، پلاک ۱۰۵

این دوره به چه افرادی توصیه می‌شود؟

  • کارشناسان شکار تهدیدهای سایبری
  • افراد علاقه‌مند به امنیت شبکه‌های مبتنی‌بر ویندوز
  • مشاوران امنیت سایبری
  • کارشناسان امنیت سایبری در سازمان‌ها و بخش SOC

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • برای حضور در این کارگاه نیاز است تا با زیرساخت‌های مبتنی‌بر مایکروسافت و سیستم‌عامل ویندوز آشنایی داشته باشید. مهم‌ترین پیش‌نیازهای دانشی و تجربی برای حضور در این دوره به شرح زیر است:
  • آشنایی با سیستم‌عامل ویندوز
  • آشنایی با مفاهیم حمله‌های سایبری در زیرساخت شبکه
  • آشنایی با مفاهیم شبکه و پروتکل‌ها

سرفصل‌های دوره

  • Structure and Chain of Advanced Attack
    • Cyber Kill Chain
    • Diamond Model
    • LNK File Leads to Domain Wide Ransomware
    • APT in Real World
    • APT 27 Analysis
    • We need a common language: MITRE ATT&CK
  • Dive To Threat Hunting
    • What Is Threat Hunting
    • Assume Breach
    • Post Exploitation
    • Security Monitoring vs. Threat Hunting
    • What Threat Hunting is NOT!
    • Sqrrl Hunt Maturity Model
    • Hunt Maturity Model – Components
    • Desired Threat Hunting Experience – Skillsd
  • Advanced - Defensive
    • Glance To Sysmon Sysinternals
    • Sysmon Installation
    • Data Shippers
    • Log Forwarding
    • Elastic Infrastructure
    • Review - Data Sources
    • Review - Data Sensors
    • Data Governance
    • What is a data model?
    • Data Modeling Mapped to Adversary
    • Lateral Movement via WMI
  • Sysmon Telemetry
    • Intro To ETW
      • Logman For Analysis
    • What Is Process
      • Thread
      • Token
      • SACL
      • Access
    • Windows API call
    • Kernel Callback
  • Sysmon Event IDs
    • Process creation
    • A process changed a file creation time
    • Network connection
    • Sysmon service state changed
    • Process terminated
    • Driver loaded
    • Image loaded
    • Create Remote Thread
    • Raw Access Read
    • Process Access
    • File Create
    • Registry Event (Object create and delete)
    • Registry Event (Value Set)
    • Registry Event (Key and Value Rename)
    • File Create Stream Hash
    • Service Configuration Change
    • Pipe Event (Pipe Created)
    • Pipe Event (Pipe Connected)
    • Wmi Event (Wmi Event Filter activity detected)
    • Wmi Event (Wmi Event Consumer activity detected)
    • Wmi Event (Wmi Event ConsumerToFilter activity detected)
    • DNS Event (DNS query)
    • File Delete (File Delete archived)
    • Clipboard Change (New content in the clipboard)
    • Process Tampering (Process image change)
    • FileDeleteDetected (File Delete logged)
    • FileBlockExecutable
    • FileBlockShredding
    • FileExecutableDetected
  • Sysmon Configuration
    • Rule create
    • Rule Group
    • Filter Events
    • Event Tags
  • How Attackers Bypass Sysmon
    • Hooking API Calls
    • Sysmon Driver
      • IMEWDBLD.exe
  • Threat Hunting With Sysmon
    • Hunting Lateral Movement Techniques
      • Named Pipe pivoting
      • DCOM
      • WinRM – Brute Ratel C4
    • Hunting Persistent Techniques
      • Windows Management Instrumentation (WMI) - Metador APT
      • COM Object Hijacking – Turla APT
      • UserInitMprLogonScript – APT28
      • Other Techniques
    • Hunting Credential Access Techniques
      • PPLDump
      • Inject SSP
      • LSASS Dump
      • Other Techniques
    • Hunting what others don’t want you to know
      • Hunting wiper/ransomware activity observed in Russia-Ukraine conflict
      • Printnightmare
      • Microsoft.BackgroundIntelligentTransfer.Management.Interop.dll for BITS Activity
    • lolbas
      • sftp.exe – DeathStalker APT
      • certutil.exe – APT28
      • mshta.exe - Lazarus/APT38 cluster
    • APT Attacks – Analyzing the Full Chain
      • Analyzing latest Tactics, Techniques, and Procedures (TTPs) of two different APTs.
    • Process Injection Hunting
      • What is process injection
      • apc queue injection
    • Loading and Execute Command with System.automation.dll

گواهینامه‌ی دوره