Incident Handling & Response

مهدی حاتمی
مهدی حاتمی
0 ﷼
RAvin site 72-85

درباره‌ی دوره

حملات سایبری به سازمان‌ها و شرکت‌های بزرگ در سال‌های اخیر گسترش یافته است. فارغ از این‌که لایه‌های  دفاعی سازمان ما چقدر قوی باشد، رخدادهای امنیتی برای ما اتفاق خواهد افتاد. یک واکنش سازمان یافته و دقیق در برابر یک رخداد امنیتی می‌تواند به معنای تفاوت بین بازیابی کامل و یا فاجعه کامل باشد. فرایند Incident Handling در واقع یک اصطلاح کلی است که به پاسخ شخص یا سازمان به یک رخداد امنیتی یا حمله سایبری گفته می‌شود.

در طی این دوره شما فرآیندهای شناسایی، مدیریت و تحلیل رخدادهای امنیتی و بازیابی سامانه‌ها از این رخدادها را خواهید آموخت. همچنین  با روش‌ها و حملات  به‌روز  که توسط مهاجمین و گروه‌های APT استفاده می‌شوند و روش‌های پاسخ به این حملات به طور عملی آشنا می‌شوید.

مدت زمان دوره

مدت زمان این دوره ۴۲ ساعت است و به صورت کلاس‌های آنلاین ۳ ساعته، از ساعت ۱۷:۳۰ تا ۲۰:۳۰ روزهای شنبه و دوشنبه‌ی هر هفته برگزار می‌شود. شروع جلسات این دوره از روز شنبه ۲۰ آذر خواهد بود.

این دوره به چه افرادی توصیه می‌شود؟

این دوره برای کارشناسان امنیت با حداقل تجربه کاری ۲ سال در زمینه دفاع سایبری مناسب است:

  • تحلیل‌گران و مهندسین SOC
  • کارشناسان فناوری اطلاعات سازمان‌ها
  • کارشناسان پاسخ‌گویی به تهدیدات سایبری (CSIRT)
  • مشاورین امنیت سایبری
  • کارشناسان تست نفوذ/تیم قرمز که قصد دارند با راهکارهای تیم‌های دفاعی و تیم‌های آبی بیشتر آشنا شوند

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • آشنایی با سیستم‌عامل‌های ویندوز و لینوکس
  • آشنایی با پروتکل‌های TCP/IP
  • آشنایی با تحلیل وقایع و لاگ
  • آشنایی با اصول تحلیل ترافیک

سرفصل‌های دوره

Chapter 1: Introduction to Incident Handling

1.1 Incident Handling Overview

1.1.1 What is an Incident?

1.1.2 What is Incident Handling & Incident Responding?

1.2 Cyber Kill Chain Overview

1.3 Incident Handling Process

1.3.1 Preparation

1.3.2 Identification

1.3.3 Containment

1.3.4 Eradication

1.3.5 Recovery

1.3.6 Incident Record-keeping

1.4 Post-Incident Activities and Follow-Up

Chapter 2: Network Security Incidents Handling and Responding

2.1 Network Concepts & Analysis

2.1.1 Communication Models

2.1.2 TCP / IP

2.1.3 Traffic Analysis Tools

2.2 Analyzing & Detecting Link Layer Attacks

2.2.1 Network Link Layer Overview

2.2.2 ARP Attacks Detection

2.2.3 Sniffing Attacks Detection

2.2.4 Wireless Attacks Detection

2.3 Analyzing & Detecting IP Layer Attacks

2.3.1 Network IP Layer Overview

2.3.2 IPv4 Packet Overview

2.3.3 Abusing Fragmentation Detection

2.3.4 IPv6 Packet Overview

2.3.5 Abusing IPv6 Fragmentation Detection

2.3.6 IPv4 & IPv6 Tunneling

2.3.7 ICMPv4 & ICMPv6 Attacks Detection

2.3.7.1 ICMP Packet Overview

2.3.7.2 ICMP Address Mask Request / Reply

2.3.7.3 ICMP Timestamp Request / Reply

2.3.7.4 Smurf Attack

2.3.7.5 ICMP Tunneling

2.3.7.6 Abusing ICMP Redirect

2.4 Analyzing & Detecting Transport Layer Attacks

2.5 Network Transport Layer Overview

2.5.1 TCP Based Attacks Detection

2.5.1.1 TCP Packet Overview

2.5.1.2 Sequence Number Prediction & SYN Scanning

2.5.1.3 Source Port Abnormalities

2.5.1.4 Destination Port Abnormalities

2.5.1.5 TCP RST Attack

2.5.1.6 TCP Session Hijacking

2.5.1.7 TCP Options Abuse

2.5.2 UDP Based Attacks Detection

2.5.2.1 UDP Packet Overview

2.5.2.2 DNS Attacks Detection

2.6 Detecting Common Application Protocol Attacks

2.6.1 Microsoft-specific Protocols

2.6.1.1 NetBIOS

2.6.1.2 SMB

2.6.1.3 MSRPC

2.6.2 HTTP Based Attacks

2.6.3 HTTP

2.6.4 HTTPS

2.6.5 SMTP

2.6.6 DNS

Chapter 3: Handling and Responding to Reconnaissance Activities

3.1 Reconnaissance/Information Gathering Overview

3.2 Reconnaissance Techniques

3.2.1 Whois

3.2.2 SSL Certificate Information Analysis

3.2.3 Search Engines

3.2.4 Shodan and other Internet-Wide Scanners

3.2.4.1 Maltego

3.2.5 DNS Interrogation

3.2.6 Abusing Exposed OWA or Lync

3.2.7 JavaScript Injection

3.2.8 Aggregate OSINT data collection with SpiderFoot

3.3 Scanning

3.3.1 Scanning Techniques

3.3.2 Nmap/Masscan

3.3.3 War Dialing

3.3.4 Locating and attacking personal and enterprise Wi-Fi

3.3.4.1 War Driving

3.3.5 WebRTC-based Scans

Chapter 4: Handling and Responding to Exploitation Attacks

4.1 Exploitation Overview

4.1.1 Local Exploits

4.1.2 Remote Exploits

4.2 Exploit Microsoft Products and Services

4.2.1 NetNTLM Hash Capturing & Relaying

4.2.2 Microsoft Office Exploits

4.2.3 Malicious Macros

4.2.4 SMB Exploits

4.2.5 IIS Exploits

4.2.6 SharePoint Exploits

4.3 Remote Linux Host Attacks

4.3.1 Password Spraying

4.3.2 Samba Vulnerabilities & Misconfigurations

4.3.3 Shellshock

4.3.4 Java RMI Registry Exploitation

4.3.5 Exploiting Insecure Java Deserialization

4.4 Denial of Service Attacks

4.4.1 DoS Exploits

4.4.2 DNS Amplification Attacks

4.4.3 Botnet-based Attacks

4.5 BGP Hijacking

4.6 SSL Attacks

4.6.1 Heartbleed

4.6.2 SSL Stripping

4.6.3 Sslstrip+

Chapter 5: Handling and Responding to Post-Exploitation Attacks

5.1 Post-Exploitation Attacks Overview

5.2 Windows Privilege Escalation

5.2.1 Stored Credentials

5.2.2 Insufficiently Secure Service Registry Permissions

5.2.3 Unquoted Service Path

5.2.4 Insufficiently Protected Service Binary

5.2.5 Always Install Elevated

5.2.6 Exploiting the Windows Kernel and 3rd-Party Drivers for Privilege Escalation

5.2.7 Abusing Windows Privileges for Privilege Escalation

5.3 Linux Privilege Escalation

5.4 Credential Theft

5.4.1 Mimikatz

5.5 Privilege Escalation Using Active Directory Protocols and Misconfigurations

5.5.1 Windows Authentication Weaknesses

5.5.1.1 LM / NTLMv1

5.5.1.2 NTLMv2

5.5.1.3 NetNTLM

5.5.1.4 Kerberos

5.5.2 SMB Relay

5.5.3 Pass the Hash

5.5.3.1 Overpass the Hash

5.5.4 Pass the Ticket

5.5.5 Forged Kerberos Tickets

5.5.5.1 Golden Tickets

5.5.5.2 ilver Tickets

5.5.5.3 Keberoast

5.5.6 SPN Scanning

5.5.7 DCSync

5.5.8 DCShadow

5.5.9 Password Spraying

5.5.10 Remote Command Execution

5.5.10.1 Remote Execution Through WMI

5.5.10.2 Remote Execution Through WinRM

5.5.10.3 Remote Execution Through PS Remoting

5.5.10.4 Remote Execution Through PSExec

5.5.11 Windows Persistence

5.5.11.1 Registry Persistence

5.5.11.2 Scheduled Tasks / Cron Jobs

5.5.11.3 Services

5.5.11.4 WMI

5.5.11.5 Rootkits

5.5.11.6 DLL

5.5.12 Linux Persistence

5.5.12.1 Services

5.5.12.2 Cron Jobs

5.5.12.3 Rootkits

5.5.12.4 Kernel Modules

Chapter 6: Log Analysis

6.1 Windows Logging

6.1.1 Account Management Events

6.1.2 Account Logon and Logon Events

6.1.2.1 RDP Logon Events

6.1.2.2 SMB Logon Events

6.1.3 Access to Shared Objects

6.1.4 Scheduled Task Logging

6.1.5 Object Access Auditing

6.1.6 Audit Policy Changes

6.1.7 Process Tracking

6.1.8 Auditing PowerShelI

6.2 Web Servers Logging

6.2.1 IIS Logging

6.2.2 Apache Logging

6.2.3 ENGINX Logging

6.3 Linux Logging

6.4 Network Devices Logging

Chapter 7: Protocol Based Attacks Analysis

7.1 SMTP Analytics

7.1.1 Phishing Domain Identification

7.1.2 Malicious Attachment Identification

7.2 DNS Analytics

7.2.1 Detecting DNS Tunneling

7.3 HTTP(S) Analytics

7.3.1 HTTP Analytics

7.3.2 HTTPS Analytics

ویژگی های دوره

  • درس 0
  • آزمونها 0
  • مدت زمان 40 ساعت
  • سطح مهارت پیشرفته
  • زبان فارسی و انگلیسی
  • دانشجویان 18
  • گواهی نامه بله
  • ارزیابی بله
مهدی حاتمی
مهدی حاتمی
    چند سال قبل بود که با حضور در جلسات و انجمن‌ها امنیتی به دنیای امنیت سایبری علاقه‌مند شدم. از همون زمان دست به‌کار شدم و برای ورود به این عرصه اولین مدرکم رو از موسسه‌ی ISC2 گرفتم و به عنوان کارشناس امنیت مشغول به کار شدم. علاقه‌ی شخصیم در حوزه‌ی تحلیل امنیته و به همین دلیل به عنوان تحلیل‌گر امنیتی مشغول به کار هستم. طی این سال‌ها در پروژه‌های زیادی در زمینه‌های تحلیل ترافیک و وقایع، فارنزیک و شکار تهدیدات سایبری فعالیت داشتم. یکی از کارهای مورد علاقم پیاده‌سازی حملات مختلف و کشف و استخراج Indicator های اون با استفاده از تحلیل ترافیک شبکه گرفته، وقایع و باینریه که در کنار کارهای روزمره به صورت شخصی انجام می‌دم.
    0 ﷼

    شما ممکن است دوست داشته باشید

    نظر بدهید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    Message modal