Incident Handling & Response
دربارهی دوره
حملات سایبری به سازمانها و شرکتهای بزرگ در سالهای اخیر گسترش یافته است. فارغ از اینکه لایههای دفاعی سازمان ما چقدر قوی باشد، رخدادهای امنیتی برای ما اتفاق خواهد افتاد. یک واکنش سازمان یافته و دقیق در برابر یک رخداد امنیتی میتواند به معنای تفاوت بین بازیابی کامل و یا فاجعه کامل باشد. فرایند Incident Handling در واقع یک اصطلاح کلی است که به پاسخ شخص یا سازمان به یک رخداد امنیتی یا حمله سایبری گفته میشود.
در طی این دوره شما فرآیندهای شناسایی، مدیریت و تحلیل رخدادهای امنیتی و بازیابی سامانهها از این رخدادها را خواهید آموخت. همچنین با روشها و حملات بهروز که توسط مهاجمین و گروههای APT استفاده میشوند و روشهای پاسخ به این حملات به طور عملی آشنا میشوید.
مدت زمان دوره
مدت زمان این دوره ۴۲ ساعت است و به صورت کلاسهای آنلاین ۳ ساعته، از ساعت ۱۷:۳۰ تا ۲۰:۳۰ روزهای شنبه و دوشنبهی هر هفته برگزار میشود. شروع جلسات این دوره از روز شنبه ۲۰ آذر خواهد بود.
این دوره به چه افرادی توصیه میشود؟
این دوره برای کارشناسان امنیت با حداقل تجربه کاری ۲ سال در زمینه دفاع سایبری مناسب است:
- تحلیلگران و مهندسین SOC
- کارشناسان فناوری اطلاعات سازمانها
- کارشناسان پاسخگویی به تهدیدات سایبری (CSIRT)
- مشاورین امنیت سایبری
- کارشناسان تست نفوذ/تیم قرمز که قصد دارند با راهکارهای تیمهای دفاعی و تیمهای آبی بیشتر آشنا شوند
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- آشنایی با سیستمعاملهای ویندوز و لینوکس
- آشنایی با پروتکلهای TCP/IP
- آشنایی با تحلیل وقایع و لاگ
- آشنایی با اصول تحلیل ترافیک
سرفصلهای دوره
Chapter 1: Introduction to Incident Handling
1.1 Incident Handling Overview
1.1.1 What is an Incident?
1.1.2 What is Incident Handling & Incident Responding?
1.2 Cyber Kill Chain Overview
1.3 Incident Handling Process
1.3.1 Preparation
1.3.2 Identification
1.3.3 Containment
1.3.4 Eradication
1.3.5 Recovery
1.3.6 Incident Record-keeping
1.4 Post-Incident Activities and Follow-Up
Chapter 2: Network Security Incidents Handling and Responding
2.1 Network Concepts & Analysis
2.1.1 Communication Models
2.1.2 TCP / IP
2.1.3 Traffic Analysis Tools
2.2 Analyzing & Detecting Link Layer Attacks
2.2.1 Network Link Layer Overview
2.2.2 ARP Attacks Detection
2.2.3 Sniffing Attacks Detection
2.2.4 Wireless Attacks Detection
2.3 Analyzing & Detecting IP Layer Attacks
2.3.1 Network IP Layer Overview
2.3.2 IPv4 Packet Overview
2.3.3 Abusing Fragmentation Detection
2.3.4 IPv6 Packet Overview
2.3.5 Abusing IPv6 Fragmentation Detection
2.3.6 IPv4 & IPv6 Tunneling
2.3.7 ICMPv4 & ICMPv6 Attacks Detection
2.3.7.1 ICMP Packet Overview
2.3.7.2 ICMP Address Mask Request / Reply
2.3.7.3 ICMP Timestamp Request / Reply
2.3.7.4 Smurf Attack
2.3.7.5 ICMP Tunneling
2.3.7.6 Abusing ICMP Redirect
2.4 Analyzing & Detecting Transport Layer Attacks
2.5 Network Transport Layer Overview
2.5.1 TCP Based Attacks Detection
2.5.1.1 TCP Packet Overview
2.5.1.2 Sequence Number Prediction & SYN Scanning
2.5.1.3 Source Port Abnormalities
2.5.1.4 Destination Port Abnormalities
2.5.1.5 TCP RST Attack
2.5.1.6 TCP Session Hijacking
2.5.1.7 TCP Options Abuse
2.5.2 UDP Based Attacks Detection
2.5.2.1 UDP Packet Overview
2.5.2.2 DNS Attacks Detection
2.6 Detecting Common Application Protocol Attacks
2.6.1 Microsoft-specific Protocols
2.6.1.1 NetBIOS
2.6.1.2 SMB
2.6.1.3 MSRPC
2.6.2 HTTP Based Attacks
2.6.3 HTTP
2.6.4 HTTPS
2.6.5 SMTP
2.6.6 DNS
Chapter 3: Handling and Responding to Reconnaissance Activities
3.1 Reconnaissance/Information Gathering Overview
3.2 Reconnaissance Techniques
3.2.1 Whois
3.2.2 SSL Certificate Information Analysis
3.2.3 Search Engines
3.2.4 Shodan and other Internet-Wide Scanners
3.2.4.1 Maltego
3.2.5 DNS Interrogation
3.2.6 Abusing Exposed OWA or Lync
3.2.7 JavaScript Injection
3.2.8 Aggregate OSINT data collection with SpiderFoot
3.3 Scanning
3.3.1 Scanning Techniques
3.3.2 Nmap/Masscan
3.3.3 War Dialing
3.3.4 Locating and attacking personal and enterprise Wi-Fi
3.3.4.1 War Driving
3.3.5 WebRTC-based Scans
Chapter 4: Handling and Responding to Exploitation Attacks
4.1 Exploitation Overview
4.1.1 Local Exploits
4.1.2 Remote Exploits
4.2 Exploit Microsoft Products and Services
4.2.1 NetNTLM Hash Capturing & Relaying
4.2.2 Microsoft Office Exploits
4.2.3 Malicious Macros
4.2.4 SMB Exploits
4.2.5 IIS Exploits
4.2.6 SharePoint Exploits
4.3 Remote Linux Host Attacks
4.3.1 Password Spraying
4.3.2 Samba Vulnerabilities & Misconfigurations
4.3.3 Shellshock
4.3.4 Java RMI Registry Exploitation
4.3.5 Exploiting Insecure Java Deserialization
4.4 Denial of Service Attacks
4.4.1 DoS Exploits
4.4.2 DNS Amplification Attacks
4.4.3 Botnet-based Attacks
4.5 BGP Hijacking
4.6 SSL Attacks
4.6.1 Heartbleed
4.6.2 SSL Stripping
4.6.3 Sslstrip+
Chapter 5: Handling and Responding to Post-Exploitation Attacks
5.1 Post-Exploitation Attacks Overview
5.2 Windows Privilege Escalation
5.2.1 Stored Credentials
5.2.2 Insufficiently Secure Service Registry Permissions
5.2.3 Unquoted Service Path
5.2.4 Insufficiently Protected Service Binary
5.2.5 Always Install Elevated
5.2.6 Exploiting the Windows Kernel and 3rd-Party Drivers for Privilege Escalation
5.2.7 Abusing Windows Privileges for Privilege Escalation
5.3 Linux Privilege Escalation
5.4 Credential Theft
5.4.1 Mimikatz
5.5 Privilege Escalation Using Active Directory Protocols and Misconfigurations
5.5.1 Windows Authentication Weaknesses
5.5.1.1 LM / NTLMv1
5.5.1.2 NTLMv2
5.5.1.3 NetNTLM
5.5.1.4 Kerberos
5.5.2 SMB Relay
5.5.3 Pass the Hash
5.5.3.1 Overpass the Hash
5.5.4 Pass the Ticket
5.5.5 Forged Kerberos Tickets
5.5.5.1 Golden Tickets
5.5.5.2 ilver Tickets
5.5.5.3 Keberoast
5.5.6 SPN Scanning
5.5.7 DCSync
5.5.8 DCShadow
5.5.9 Password Spraying
5.5.10 Remote Command Execution
5.5.10.1 Remote Execution Through WMI
5.5.10.2 Remote Execution Through WinRM
5.5.10.3 Remote Execution Through PS Remoting
5.5.10.4 Remote Execution Through PSExec
5.5.11 Windows Persistence
5.5.11.1 Registry Persistence
5.5.11.2 Scheduled Tasks / Cron Jobs
5.5.11.3 Services
5.5.11.4 WMI
5.5.11.5 Rootkits
5.5.11.6 DLL
5.5.12 Linux Persistence
5.5.12.1 Services
5.5.12.2 Cron Jobs
5.5.12.3 Rootkits
5.5.12.4 Kernel Modules
Chapter 6: Log Analysis
6.1 Windows Logging
6.1.1 Account Management Events
6.1.2 Account Logon and Logon Events
6.1.2.1 RDP Logon Events
6.1.2.2 SMB Logon Events
6.1.3 Access to Shared Objects
6.1.4 Scheduled Task Logging
6.1.5 Object Access Auditing
6.1.6 Audit Policy Changes
6.1.7 Process Tracking
6.1.8 Auditing PowerShelI
6.2 Web Servers Logging
6.2.1 IIS Logging
6.2.2 Apache Logging
6.2.3 ENGINX Logging
6.3 Linux Logging
6.4 Network Devices Logging
Chapter 7: Protocol Based Attacks Analysis
7.1 SMTP Analytics
7.1.1 Phishing Domain Identification
7.1.2 Malicious Attachment Identification
7.2 DNS Analytics
7.2.1 Detecting DNS Tunneling
7.3 HTTP(S) Analytics
7.3.1 HTTP Analytics
7.3.2 HTTPS Analytics
ویژگی های دوره
- درس 0
- آزمونها 0
- مدت زمان 40 ساعت
- سطح مهارت پیشرفته
- زبان فارسی و انگلیسی
- دانشجویان 18
- گواهی نامه بله
- ارزیابی بله