Threat Hunting Using Sysmon

دربارهی دوره
با پیچیدهتر شدن تهدیدات سایبری و به طور خاص تهدیدات APT در سالهای اخیر، راهکارها و تخصصهای دفاعی جدیدی در حال شکلگیری و پررنگ شدن هستند تا بتوان با این تهدیدات مدرن به شکل موثرتری مقابله کرد. یکی از مهمترین این موارد «شکار تهدیدات سایبری» است. شکارچیان تهدیدات سایبری، در واقع متخصصهای امنیتی هستند که به صورت فعال و مداوم به دنبال شناسایی، ایزوله و خنثیسازی تهدیدات پیشرفته ای هستند که از دید تجهیزات و راهکارهای تجاری امنیت سازمان دور ماندهاند.
یک شکارچی تهدیدات سایبری علاوه بر دیدگاه درست امنیتی، به تکنیکها و ابزارهای مختلفی برای شناسایی تهدیدات موجود در زیرساخت سازمان نیاز دارند. یکی از پرکاربردترین ابزارهای مورد استفاده در شکار تهدیدات سایبری در زیرساختهای مایکروسافتی، Sysmon نام دارد که در این دوره به معرفی و آموزش بهرهبرداری از آن پرداخته خواهد شد. Sysmon بخشی از مجموعه ابزارهای Sysinternals ویندوز است که به صورت سرویس یا درایور بر روی سیستمعامل نصب میشود.
با استفاده از این ابزار میتوان وقایع مختلفی در خصوص پروسسها، ارتباطات شبکهای، وقایع سیستمی، تغییرات در فایلها و بسیاری موارد دیگر را با جزییات کامل ثبت و به منظور تحلیلهای بیشتر به سامانهی SIEM ارسال کرد. با حضور در این کارگاه یک روزه ضمن آشنایی با Sysmon، پیکربندی آن، تعداد زیادی رولهای شکار تهدیدات سایبری و بسیاری از موارد دیگر را به صورت عملی خواهید آموخت. همچنین چندین سناریوی حملات سایبری در دنیای واقعی و شیوهی شکار آنها را در کنار هم تحلیل خواهیم کرد.
مدت زمان دوره
مدت زمان این دوره ۸ ساعت است و به صورت کارگاه آنلاین یک روزه، در روز پنجشنبه مورخ ۹ بهمن از ساعت ۱۰ لغایت ۱۸ برگزار خواهد شد.
این دوره به چه افرادی توصیه میشود؟
- کارشناسان شکار تهدیدات سایبری
- افراد علاقهمند به امنیت شبکههای مبتنی بر ویندوز
- مشاورین امنیت سایبری
- کارشناسان امنیت سایبری در سازمانها و بخش SOC
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
برای حضور در این کارگاه نیاز است تا با زیرساختهای مبتنی بر مایکروسافت و سیستمعامل ویندوز آشنایی داشته باشید. مهمترین پیشنیازهای دانشی و تجربی برای حضور در این دوره به شرح زیر است:
- آشنایی با سیستمعامل ویندوز
- آشنایی با مفاهیم حملات سایبری در زیرساخت شبکه
- آشنایی با مفاهیم شبکه و پروتکلها
برای ثبتنام در این دوره میتوانید از اینجا اقدام کنید.
سرفصلهای دوره
Chapter 1: Sysmon Configuration
Chapter 2: Sysmon Event IDs
Chapter 3: How Attackers Bypass Sysmon
Chapter 4: Sysmon Installation Tips
Chapter 5: How to Hunt with Sysmon
5.1 IMPhash
5.2 WMI Consumer Hunt
5.3 Get Events with Powershell
5.4 Credential Dump Hunting with Sysmon
5.5 Hunting Persistant Attackers with Sysmon
5.6 Hunting RDP Tunneling
5.7 Process Injection Hunting
5.8 Unmanaged Powershell
5.9 Commandline Deobfuscaion
5.10 IIS Webshell Detetction with Sysmon
Chapter 6: Develop Hunting Rules
ویژگی های دوره
- عناوین 6
- امتحانات 0
- مدت 8 ساعت
- سطح مهارت متوسط
- زبان فارسی و انگلیسی
- دانشجویان 0
- گواهی بله
- ارزیابی ها بله
-
سرفصلهای این دوره