Threat Hunting Using Sysmon

دربارهی دوره
با پیچیدهتر شدن تهدیدات سایبری و به طور خاص تهدیدات APT در سالهای اخیر، راهکارها و تخصصهای دفاعی جدیدی در حال شکلگیری و پررنگ شدن هستند تا بتوان با این تهدیدات مدرن به شکل موثرتری مقابله کرد. یکی از مهمترین این موارد «شکار تهدیدات سایبری» است. شکارچیان تهدیدات سایبری، در واقع متخصصهای امنیتی هستند که به صورت فعال و مداوم به دنبال شناسایی، ایزوله و خنثیسازی تهدیدات پیشرفته ای هستند که از دید تجهیزات و راهکارهای تجاری امنیت سازمان دور ماندهاند.
یک شکارچی تهدیدات سایبری علاوه بر دیدگاه درست امنیتی، به تکنیکها و ابزارهای مختلفی برای شناسایی تهدیدات موجود در زیرساخت سازمان نیاز دارند. یکی از پرکاربردترین ابزارهای مورد استفاده در شکار تهدیدات سایبری در زیرساختهای مایکروسافتی، Sysmon نام دارد که در این دوره به معرفی و آموزش بهرهبرداری از آن پرداخته خواهد شد. Sysmon بخشی از مجموعه ابزارهای Sysinternals ویندوز است که به صورت سرویس یا درایور بر روی سیستمعامل نصب میشود.
با استفاده از این ابزار میتوان وقایع مختلفی در خصوص پروسسها، ارتباطات شبکهای، وقایع سیستمی، تغییرات در فایلها و بسیاری موارد دیگر را با جزییات کامل ثبت و به منظور تحلیلهای بیشتر به سامانهی SIEM ارسال کرد. با حضور در این کارگاه ضمن آشنایی با Sysmon، مواردی مانند پیکربندی Sysmon، ساختار و گامهای امنیت سایبری، مفاهیم شکار تهدیدات سایبری، ساختار Event IDهای ویندوز، شناسایی حملات سایبری و بسیاری از موارد دیگر را به صورت عملی خواهید آموخت. همچنین چندین سناریوی حملات سایبری در دنیای واقعی و شیوهی شکار آنها را در کنار هم تحلیل خواهیم کرد.
مدت زمان دوره
مدت زمان این دوره ۲۰ ساعت است و به صورت کارگاه آنلاین طی ۴ جلسهی ۵ ساعته در روزهای پنجشنبه و جمعه از ساعت ۱۰:۰۰ تا ۱۵:۰۰ برگزار خواهد شد. آغاز جلسات این دوره از روز پنجشنبه تاریخ ۱۴۰۰/۱۱/۲۸ خواهد بود.
گواهینامهی دوره
برای دریافت گواهینامهی این دوره، ده روز پس از جلسهی پایانی، آزمونی برگزار خواهد شد که با قبولی در این آزمون، امکان صدور گواهینامهی دوره برای شما را خواهیم داشت. حضور در آزمون پایانی و دریافت گواهینامهی دوره برای شرکتکنندگان اختیاری است.
هزینهی شرکت در آزمون پایانی: ۳۰ هزارتومان
هزینهی چاپ و صدور گواهینامهی دوره: ۵۰ هزارتومان
این دوره به چه افرادی توصیه میشود؟
- کارشناسان شکار تهدیدات سایبری
- افراد علاقهمند به امنیت شبکههای مبتنی بر ویندوز
- مشاورین امنیت سایبری
- کارشناسان امنیت سایبری در سازمانها و بخش SOC
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
برای حضور در این کارگاه نیاز است تا با زیرساختهای مبتنی بر مایکروسافت و سیستمعامل ویندوز آشنایی داشته باشید. مهمترین پیشنیازهای دانشی و تجربی برای حضور در این دوره به شرح زیر است:
- آشنایی با سیستمعامل ویندوز
- آشنایی با مفاهیم حملات سایبری در زیرساخت شبکه
- آشنایی با مفاهیم شبکه و پروتکلها
سرفصلهای دوره
Chapter 1: Threat Hunting
1.1 Introduction to Threat, Dwell Time, Cyber
1.2 Security Problems
1.3 Introduction to Threat Hunting
1.4 Threat Hunting People, Process & Tools
1.5 Technology
1.6 Threat Hunting Framework
1.7 Pyramid of Pain
1.8 Cyber Kill Chain
1.9 MITRE ATT&CK
Chapter 2: Sysmon Configuration
2.1 Rule create
2.2 Rule Group
2.3 filter events
2.4 Event Tags
Chapter 3: Sysmon Event IDs
3.1 Process creation
3.2 A process changed a file creation time
3.3 Network connection
3.4 Sysmon service state changed
3.5 Process terminated
3.6 Driver loaded
3.7 Image loaded
3.8 Create Remote Thread
3.9 Raw Access Read
3.10 Process Access
3.11 File Create
3.12 Registry Event (Object create and delete)
3.13 Registry Event (Value Set)
3.14 Registry Event (Key and Value Rename)
3.15 File Create Stream Hash
3.16 Service Configuration Change
3.17 Pipe Event (Pipe Created)
3.18 Pipe Event (Pipe Connected)
3.19 Wmi Event (Wmi Event Filter activity detected)
3.20 Wmi Event (Wmi Event Consumer activity detected)
3.21 Wmi Event (Wmi Event Consumer To Filter activity detected)
3.22 DNSEvent (DNS query)
3.23 File Delete (File Delete archived)
3.24 Clipboard Change (New content in the clipboard)
3.25 Process Tampering (Process image change)
Chapter 4: How Attackers Bypass Sysmon
4.1 Hooking API Calls
4.2 Sysmon Driver
Chapter 5: Sysmon Integration with SIEM
5.1 Dashboard Analysis
5.2 Multiple event id Dashboard
5.3 Attack Work Flow Analysis with dashboards
Chapter 6: Base Line Analysis
Chapter 7: Anomaly Analysis
Chapter 8: How to Hunt Real World APT Techniques with Sysmon
8.1 Cobalt
8.1.1 IMEWDBLD.exe
8.2 Hunting Lateral Movement Techniques
8.2.1 Name Pipe Pivoting
8.2.2 ATExec
8.2.3 WMI
8.3 Hunting Persistent Techniques
8.3.1 Scheduletask
8.3.2 COM Objects
8.3.3 Logon Script
8.3.4 Registry
8.3.5 Other Techniques
8.4 Credential Dump Hunting
8.4.1 PPLDump
8.4.2 Inject SSP
8.4.3 LSASS Dump
8.4.4 Other Techniques
8.5 More Hunting
8.5.1 NTLM relay
8.5.2 printnightmare
8.5.3 Microsoft.BackgroundIntelligentTransfer.Management.Interop.dll for BITS Activity
8.6 lolbas-project
8.6.1 IMEWDBLD.exe
8.6.2 Procdump(64).exe
8.6.3 PrintBrm.exe
8.7 APT 34 Malware Scenario
8.7.1 Winword – > vbe -> certreq.exe (download lolbin) -> msiexec -> python bunch of encoded script-> python backdoor + infostealer (persist via scheduled task)
8.8 Process Injection Hunting
8.9 Loading and Execute Command with System.automation.dll
Chapter 9: Develop Hunting Rules
ویژگی های دوره
- درس 9
- آزمونها 1
- مدت زمان 20 ساعت
- سطح مهارت متوسط
- زبان فارسی و انگلیسی
- دانشجویان 12
- گواهی نامه بله
- ارزیابی بله
این دوره برگزار شده است.