Windows Threat Hunting With Elastic Stack
دربارهی این دوره (آنلاین)
امنیت سایبری در سالهای اخیر در کنار جلوگیری و پیشگیری از حملات، بر روی شناسایی تهدیدات و حملات سایبری در زیرساخت متمرکز شده است. در همین راستا ابزارها و راهکارهای متنوعی نیز توسط شرکتهای امنیتی مختلف در سراسر دنیا ارایه شده، و SIEM یکی از پرکاربردترین این راهکارها میباشد. هریک از محصولات SIEM ارایه شده توسط شرکتهای مختلف، معایب و مزایای خاص خود راه به همراه دارد که همین موارد سبب گردیده تا سازمانها در انتخاب مناسبترین محصول SIEM بر اساس نیازهای خود با چالشهایی روبرو باشند.یکی از پرکاربردترین محصولات SIEM در دنیا و به خصوص در ایران ELK میباشد که بر پایهی محصول متنباز Elastic Search طراحی و ارایه شده است. این محصول در صورت پیکربندی و معماری صحیح، در کنار یکی سری از ابزارهای مکمل دیگر قابلیت رقابت با بهترین محصولات تجاری روز دنیا را دارد. در این دوره به آموزش معماری این محصول و شکار تهدیدات سایبری در زیرساختهای ویندوزی با استفاده از آن پرداخته میشود. از مهمترین مطالب ارایه شده در این دوره میتوان به بررسی ساختار استاندارد یک SIEM، معرفی ELK به همراه آموزش معماری و ویژگیهای آن و در نهایت جمعآوری وقایع و شکار تهدیدات سایبری با استفاده از ELK، اشاره کرد.مدت زمان دوره
این دوره برای چه افرادی توصیه میشود؟
- تحلیلگران و مهندسین SOC
- کارشناسان فعال در زمینه Forensic Investigation
- کارشناسان امنیت سایبری در سازمانها
- کارشناسان شکار تهدیدات سایبری
- کارشناسان پاسخگویی به تهدیدات سایبری (CSIRT)
برای شرکت در این دوره چه دانشهایی باید داشته باشم؟
- آشنایی با مفاهیم و اصول شبکه
- آشنایی با پروتکلهای پرکاربرد TCP/IP
- آشنایی با مفاهیم و تعاریف حملات سایبری
- آشنایی با زیرساختهای مجازیسازی VMware
- حداقل یک سال تجربهی کار در زمینههای مرتبط
ویدیوی معرفی دوره
سرفصلهای این دوره
Chapter 1: Introduction to SIEM
1.1 What is SIEM
1.2 Why do We Need SIEM
1.3 How Can We Use SIEM
Chapter 2: ELK
2.1 Introduction to ELK
2.1.1 Applied Collection of Framework
2.1.2 ELK Components
2.2 Lab Installation
2.2.1 Lab Environment Overview
2.2.2 Environment
2.2.3 Environment Logstash
2.2.4 Environment Kibana
2.3 Indexing and Searching Data in Elastic
2.3.1 ES Docs (Types and Indexes)
2.3.2 ES Basic CRUD
2.3.3 Search in ES
2.3.4 ES Aggregations
2.3.5 Mapping Index Data
2.4 Logstash Input, Filtering, and Output
2.4.1 Logstash Input
2.4.2 More About Logstash Input
2.4.3 Logstash Filtering Structured Data
2.4.4 Logstash Filtering Unstructured Data
2.4.5 Logstash Output
2.5 Searching and Visualizing Data in Kibana
2.5.1 Kibana Index Patterns and the Discover Page
2.5.2 Searching Data in Kibana
2.5.3 Building Visualizations in Kibana
2.5.4 Dashboard Structure
2.5.5 Dashboard Overview
2.5.6 High Performance Dashboard
2.6 Data Pipeline
2.6.1 Windows and Sysmon Logs
2.6.2 Data Pipeline Operational Logs
Chapter 3: Be the Hunter
3.1 What is Hunting?
3.2 Choosing Your Framework
3.2.1 MITRE ATT&CK
3.2.2 KILLCHAIN
3.3 Hunting Structure
3.4 What is Rule and Use Case?
3.5 Sample Rules
Chapter 4: Windows Event Logging and Forwarding
4.1 Event Categories
4.2 Event Category Configuration AND Auditing
4.3 Event Forwarding
4.3.1 WEF (Windows Event Forwarding)
4.3.2 Filebeat
4.3.3 Winlogbeat
4.4 Powershell Logging
4.5 LDAP Logging
Chapter 5: Sysmon
5.1 Introduction to Sysmon
5.2 Configuration and Installment
5.3 Threat Hunting with Sysmon
Chapter 6: Windows Log Analyzing with SIEM
6.1 Visualizing Data Field
6.2 Mapping Windows Logs With MITRE Framework
6.3 Dive to Authentication
6.3.1 Logon Types
6.3.2 Login Fail Types
6.3.3 Login Success Full Type
6.3.4 Kerberos Authentication Logs
6.4 Sigma Generic Signature Format for SIEM Systems
6.5 Correlation Rules with Sigma
6.6 Lateral Movement Detection
[/vc_column_text][/vc_column][/vc_row]ویژگی های دوره
- درس 6
- آزمونها 0
- مدت زمان 32 ساعت
- سطح مهارت پیشرفته
- زبان فارسی و انگلیسی
- دانشجویان 12
- گواهی نامه بله
- ارزیابی بله
