• دوره‌های آموزشی
  • مسیرهای آموزشی
  • خدمات سازمانی
    • آموزش سازمانی
      • دوره‌ی آگاهی‌رسانی امنیت سایبری
      • دوره‌ی امنیت سایبری برای مدیران کسب‌وکار
      • دوره‌ی Open Source Intelligence
      • دوره‌ی‌ فریم‌ورک MITRE ATT&CK
      • دوره‌ی JAVA Secure Coding
    • مشاوره‌ی امنیت سایبری
    • تحقیقات امنیت سایبری
  • دوره‌های رایگان
    • دوره‌ی CEH
  • وبلاگ
  • تقویم آموزشی
آکادمی راوینآکادمی راوین
  • دوره‌های آموزشی
  • مسیرهای آموزشی
  • خدمات سازمانی
    • آموزش سازمانی
      • دوره‌ی آگاهی‌رسانی امنیت سایبری
      • دوره‌ی امنیت سایبری برای مدیران کسب‌وکار
      • دوره‌ی Open Source Intelligence
      • دوره‌ی‌ فریم‌ورک MITRE ATT&CK
      • دوره‌ی JAVA Secure Coding
    • مشاوره‌ی امنیت سایبری
    • تحقیقات امنیت سایبری
  • دوره‌های رایگان
    • دوره‌ی CEH
  • وبلاگ
  • تقویم آموزشی

دوره‌های امنیت دفاعی

  • خانه
  • همه دوره ها
  • دوره‌های امنیت دفاعی
  • Threat Hunting Using Sysmon

Threat Hunting Using Sysmon

مهدی میرسلطانی
مهدی میرسلطانی
دوره‌های امنیت دفاعی
0 ﷼
RAvin site 44-45
RAvin site 44-45
  • بررسی اجمالی
  • مدرس:

درباره‌ی دوره

با پیچیده‌تر شدن تهدیدات سایبری و به طور خاص تهدیدات APT در سال‌های اخیر، راهکارها و تخصص‌های دفاعی جدیدی در حال شکل‌گیری و پررنگ شدن هستند تا بتوان با این تهدیدات مدرن به شکل موثرتری مقابله کرد. یکی از مهم‌ترین این موارد «شکار تهدیدات سایبری» است. شکارچیان تهدیدات سایبری، در واقع متخصص‌های امنیتی هستند که به صورت فعال و مداوم به دنبال شناسایی، ایزوله و خنثی‌سازی تهدیدات پیشرفته ای هستند که از دید تجهیزات و راهکارهای تجاری امنیت سازمان دور مانده‌اند.

یک شکارچی تهدیدات سایبری علاوه بر دیدگاه درست امنیتی، به تکنیک‌ها و ابزارهای مختلفی برای شناسایی تهدیدات موجود در زیرساخت سازمان نیاز دارند. یکی از پرکاربردترین ابزارهای مورد استفاده در شکار تهدیدات سایبری در زیرساخت‌های مایکروسافتی، Sysmon نام دارد که در این دوره به معرفی و آموزش بهره‌برداری از آن پرداخته خواهد شد. Sysmon بخشی از مجموعه ابزارهای Sysinternals ویندوز است که به صورت سرویس یا درایور بر روی سیستم‌عامل نصب می‌شود.

با استفاده از  این ابزار می‌توان وقایع مختلفی در خصوص پروسس‌ها، ارتباطات شبکه‌ای، وقایع سیستمی، تغییرات در فایل‌ها و بسیاری موارد دیگر را با جزییات کامل ثبت و به منظور تحلیل‌های بیشتر به سامانه‌ی SIEM ارسال کرد. با حضور در این کارگاه ضمن آشنایی با Sysmon، مواردی مانند پیکربندی Sysmon، ساختار و گام‌های امنیت سایبری، مفاهیم شکار تهدیدات سایبری، ساختار Event IDهای ویندوز، شناسایی حملات سایبری و بسیاری از موارد دیگر را به صورت عملی خواهید آموخت. همچنین چندین سناریوی حملات سایبری در دنیای واقعی و شیوه‌ی شکار آن‌ها را در کنار هم تحلیل خواهیم کرد.

مدت زمان دوره

مدت زمان این دوره ۲۰ ساعت است و به صورت کارگاه آنلاین طی ۴ جلسه­‌ی ۵ ساعته در روزهای پنج­شنبه و جمعه از ساعت ۱۰:۰۰ تا ۱۵:۰۰ ‌برگزار خواهد شد. آغاز جلسات این دوره از روز  پنج­شنبه تاریخ ۱۴۰۰/۱۱/۲۸ خواهد بود.

گواهینامه‌ی دوره

برای دریافت گواهینامه‌ی این دوره، ده روز پس از جلسه‌ی پایانی، آزمونی برگزار خواهد شد که با قبولی در این آزمون، امکان صدور گواهینامه‌ی دوره برای شما را خواهیم داشت. حضور در آزمون پایانی و دریافت گواهینامه‌ی دوره برای شرکت‌کنندگان اختیاری است.

هزینه‌ی شرکت در آزمون پایانی: ۳۰ هزارتومان
هزینه‌ی چاپ و صدور گواهینامه‌ی دوره: ۵۰ هزارتومان

این دوره به چه افرادی توصیه می‌شود؟

  • کارشناسان شکار تهدیدات سایبری
  • افراد علاقه‌مند به امنیت شبکه‌های مبتنی بر ویندوز
  • مشاورین امنیت سایبری
  • کارشناسان امنیت سایبری در سازمان‌ها و بخش SOC

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

برای حضور در این کارگاه نیاز است تا با زیرساخت‌های مبتنی بر مایکروسافت و سیستم‌عامل ویندوز آشنایی داشته باشید. مهم‌ترین پیش‌نیازهای دانشی و تجربی برای حضور در این دوره به شرح زیر است:

  • آشنایی با سیستم‌عامل ویندوز
  • آشنایی با مفاهیم حملات سایبری در زیرساخت شبکه
  • آشنایی با مفاهیم شبکه و پروتکل‌ها

سرفصل‌های دوره

Chapter 1: Threat Hunting

1.1 Introduction to Threat, Dwell Time, Cyber

1.2 Security Problems

1.3 Introduction to Threat Hunting

1.4 Threat Hunting People, Process & Tools

1.5 Technology

1.6 Threat Hunting Framework

1.7 Pyramid of Pain

1.8 Cyber Kill Chain

1.9 MITRE ATT&CK

Chapter 2: Sysmon Configuration

2.1 Rule create

2.2 Rule Group

2.3 filter events

2.4 Event Tags

Chapter 3: Sysmon Event IDs

3.1 Process creation

3.2 A process changed a file creation time

3.3 Network connection

3.4 Sysmon service state changed

3.5 Process terminated

3.6 Driver loaded

3.7 Image loaded

3.8 Create Remote Thread

3.9 Raw Access Read

3.10 Process Access

3.11 File Create

3.12 Registry Event (Object create and delete)

3.13 Registry Event (Value Set)

3.14 Registry Event (Key and Value Rename)

3.15 File Create Stream Hash

3.16 Service Configuration Change

3.17 Pipe Event (Pipe Created)

3.18 Pipe Event (Pipe Connected)

3.19 Wmi Event (Wmi Event Filter activity detected)

3.20 Wmi Event (Wmi Event Consumer activity detected)

3.21 Wmi Event (Wmi Event Consumer To Filter activity detected)

3.22 DNSEvent (DNS query)

3.23 File Delete (File Delete archived)

3.24 Clipboard Change (New content in the clipboard)

3.25 Process Tampering (Process image change)

Chapter 4: How Attackers Bypass Sysmon

4.1 Hooking API Calls

4.2 Sysmon Driver

Chapter 5: Sysmon Integration with SIEM

5.1 Dashboard Analysis

5.2 Multiple event id Dashboard

5.3 Attack Work Flow Analysis with dashboards

Chapter 6: Base Line Analysis

Chapter 7: Anomaly Analysis

Chapter 8: How to Hunt Real World APT Techniques with Sysmon

8.1 Cobalt

8.1.1 IMEWDBLD.exe

8.2 Hunting Lateral Movement Techniques

8.2.1 Name Pipe Pivoting

8.2.2 ATExec

8.2.3 WMI

8.3 Hunting Persistent Techniques

8.3.1 Scheduletask

8.3.2 COM Objects

8.3.3 Logon Script

8.3.4 Registry

8.3.5 Other Techniques

8.4 Credential Dump Hunting

8.4.1 PPLDump

8.4.2 Inject SSP

8.4.3 LSASS Dump

8.4.4 Other Techniques

8.5 More Hunting

8.5.1 NTLM relay

8.5.2 printnightmare

8.5.3 Microsoft.BackgroundIntelligentTransfer.Management.Interop.dll for BITS Activity

8.6 lolbas-project

8.6.1 IMEWDBLD.exe

8.6.2 Procdump(64).exe

8.6.3 PrintBrm.exe

8.7 APT 34 Malware Scenario

8.7.1 Winword – > vbe -> certreq.exe (download lolbin) -> msiexec -> python bunch of encoded script-> python backdoor + infostealer (persist via scheduled task)

8.8 Process Injection Hunting

8.9 Loading and Execute Command with System.automation.dll

Chapter 9: Develop Hunting Rules

ویژگی های دوره

  • درس 9
  • آزمونها 1
  • مدت زمان 20 ساعت
  • سطح مهارت متوسط
  • زبان فارسی و انگلیسی
  • دانشجویان 12
  • گواهی نامه بله
  • ارزیابی بله
مهدی میرسلطانی
مهدی میرسلطانی
    بیشتر از ۴ ساله که در زمینه‌ی امنیت اطلاعات فعالیت جدی دارم. با انجام تست نفوذ در شرکتی خصوصی شروع کردم و کم‌کم به بحث دفاع در امنیت علاقه‌مند شدم. در کنار آموزش‌های آکادمیکی که می‌دیدم، مطالعات شخصی زیادی هم در زمینه‌ی امنیت داشتم. گام بعدی برای من، کارشناسی مرکز عملیات امنیت در شرکت امن پردازان کویر بود. در این دوره تمرکز بر روی ELK که یکی از پلتفرم‌های معروف تحلیل و آنالیز هست رو پیش گرفتم و در زمینه ی تحلیل داده‌های ویندوزی با رویکرد شناخت apt ها شروع به مطالعه کردم. در گام بعدی لیدرشیپ یکی از تیم های مرکز عملیات شدم. همزمان تدریس در حوزه‌ی امنیت رو هم شروع کردم. در حال حاضر روی تحلیل تخصصی لاگ‌های ویندوزی و نتورکی و طراحی ساختار چیدمان SIEM متمرکزم و در کنار آموزش، در زمینه‌ی شکار تهدیدات ساییری فعالیت می‌کنم.
    • بررسی اجمالی
    • مدرس:
    0 ﷼

    این دوره برگزار شده است.

    نظر بدهید لغو پاسخ

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    منابع

    • مسیرهای آموزشی
    • پرسش‌های رایج
    • تخفیف‌ها
    • وبینارها
    • پخش زنده
    • کتابچه
    • هکرهای دوست‌ داشتنی

    همکاری با ما

    • تدریس در آکادمی راوین
    • همکاری در تولید محتوا
    • استخدام

    خدمات سازمانی

    • آموزش سازمانی
    • مشاوره‌ی امنیت سایبری
    • تحقیقات امنیت سایبری

    آکادمی راوین

    • خانه
    • درباره‌ی ما
    • تماس با ما

        

    info@ravinacademy.com
    Twitter
    Telegram
    Linkedin
    Instagram
    Github

    تمام حقوق این وب سایت به آکادمی راوین تعلق دارد.

    کسب اطلاعات بیشتر
    Modal title

    Message modal