آکادمی راوین

Threat Hunting & Incident Response

مهدی حاتمی
مهدی حاتمی
  • پیشرفته
  • مسیر آبی
  • ۴ درس
ثبت نام سازمانی این دوره
تاریخ شروع
۱ دی ۱۴۰۱
طول دوره
۴۰ ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
نفر باقی مانده

درباره‌ی این دوره

حملات APT و به طور کلی حملات هدفمند، طی سال‌های گذشته با سرعت بالایی رو به رشد بوده است. از طرفی با استفاده از راهکارها و روش‌های قدیمی نمی‌توان با این تهدیدات به صورت موثر مقابله کرد. از همین رو شکار تهدیدات و پاسخ سریع به رخدادهای سایبری از اهمیت بسیار بالایی نسبت به گذشته برخوردار شده است. شکار تهدیدات سایبری شامل فرآیندهایی است که طی آن یک تحلیل‌گر امنیت (شکارچی تهدید) با ترکیبی  از روش‌ها و  تحلیل‌های انسانی و تحلیل‌های مبتنی بر ماشین، تلاش می‌کند تا رخدادها یا تهدیدات امنیتی که در حال حاضر توسط فرآیندهای خودکار موجود در سازمان قابل تشخیص نیستند را شناسایی یا به اصطلاح شکار کند. با استفاده از این فرآیندها و پاسخ مناسب، می‌توان حملات و مهاجمین سایبری را پیش از این‌که به اهداف نهایی خود (مانند اهداف خراب‌کارانه، سرقت اطلاعات و …) دست پیدا کنند، شناسایی و با آن‌ها مقابله کرد. در طی این دوره شما با انواع تکنیک‌ها، تاکتیک‌ها و به طور کلی روش کار مهاجمین سایبری پیشرفته و تیم‌های APT آشنا شده و روش‌های شکار این تهدیدات، تحلیل تکنیک‌ها و پاسخ به آن‌ها را به صورت عملی خواهید آموخت.  به عبارت دیگر شما دانش مربوط به روش عملکرد و شکار انواع روش‌های مورد استفاده‌ی تیم‌های APT (مانند بدافزارهای Fileless، روش‌های پیشرفته‌ی گسترش و پایدار‌سازی دسترسی، حملات باج‌افزار و بسیاری موارد مشابه دیگر) را مبتنی بر چارچوب MITRE ATT&CK و همچنین شیوه‌ی پاسخ به این حملات را کسب خواهید کرد. مدت زمان این دوره ۴۰ ساعت است که به طی ۵ جلسه‌ی ۸ ساعته، روزهای پنج‌شنبه و جمعه‌ از ساعت ۱۰:۰۰ الی ۱۸:۰۰، به صورت حضوری در آکادمی راوین برگزار خواهد شد. شروع این دوره از روز جمعه ۱۰ شهریور خواهد بود.

این دوره به چه افرادی توصیه می‌شود؟

  • تحلیل‌گران و مهندسین SOC
  • کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز
  • کارشناسان پاسخ‌گویی به تهدیدات سایبری
  • شکارچیان تهدیدات سایبری
  • مشاورین امنیت سایبری
  • علاقه‌مندان به تیم بنفش (Purple Team)

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • آشنایی با مفاهیم انواع حملات سایبری
  • آشنایی با سیستم‌عامل‌های ویندوز
  • آشنایی با پروتکل‌های TCP/IP
  • آشنایی با مفاهیم تحلیل وقایع و لاگ
  • حداقل ۲ سال سابقه‌ی فعالیت در زمینه‌ی امنیت سایبری

سرفصل‌های دوره

  • APT
    • What is an APT attack?
    • APT Core Tactics
    • APT Attack Lifecycle
    • Real world APT Attacks
    • Red Team Tools
    • Why Threat Hunting
    • EDR, SOC, SIEM, Antivirus Can be Bypassed
  • Incident Response & Threat Hunting in common
    • Incident Response
    • How to Catch Bad Guys (SOC, Threat Hunting, Tools)
    • Security Controls and Types of Logs in an Organization
    • Incident Response Preparation
  • Tools
    • Useful Audit Policies
    • Build Our Tools with PowerShell
    • Ravin Hunting Tools
    • Sysmon and Configurations
    • Harden Your Sysmon:)
    • EDR
    • Event Viewer and ETW
  • Hunting APTs Core Tactics
    • Initial Access
      • malicious Attachment
      • Advanced Execution Techniques
      • Password Spray
      • Analyze Attacks Using sysmon & Splunk OR Elastic
      • Phishing
    • Persistence
      • DLL Proxy DLL Hijacking
      • Logon Scripts
      • Screensavers
      • Scheduled Tasks Elevated Multi-Action
      • SSP and Authentication Packages
      • Application Shims
      • Registry (Not Just Run Keys)
      • WMI Event Subscriptions
      • Active Directory Persistence
      • Golden Ticket Hunting
    • Lateral Movement
      • Hunting Impacket for Lateral Movement
      • Remote Service and SCM
      • Remote Schedule Task
      • Remote Registry
      • Name Pipes
      • PowerShell for Lateral Movement
      • Customized Psexec (Service, Pipe rename)
      • Com Objects for Lateral Movement
    • Credential Attacks
      • LSASS Memory Read Advance Detection
      • Dumping NTDS Detection
      • Hunting Native DLLs and Tools for Credential Dumping
      • DCSync and Stealthy DCSync
      • Abusing ACLs, SACL and Active Directory Rights
      • Unconstrained Delegation
      • Hunt What Your SIEM dos not Detect for Credential Dump
      • MiniDump WriteDump
      • Token Impersonation Hunt
      • Hunt Stealthy usage of Impacket for Credential Dump
      • Implementing Credential Guard & Powered Use
      • Pass the Hash
    • Execution and Defense Evasion
      • Malware Defense Evasion Techniques
      • Process Injection
      • Use of Legitimate Applications
      • Disguise Malware Using COM Objects
      • Detecting & Preventing the Abuse of the Legitimate Applications
      • Sysmon & ​EDR Bypass Techniques
    • Recon and Discovery
      • LDAP Hunting (Powerview, Bloodhound, …)
      • User and Group Enumeration Hunting
      • Decoy
      • Hunt Registry for Recon Purpose
    • In-Depth Investigation & Forensics
    • Incident Response in an Enterprise
      • Intro to PowerShell
      • PowerShell Remoting
      • Collect & Analyze Malicious
      • Collect Minidumps Using PowerShell
      • Detect Suspicious Processes Using PowerShell
      • Automating Artifacts Collection & Analysis for Threat Intelligence
      • Convert Your Threat Hunting Hypothesis into an Alert
      • Write Your Own SIGMA Rules
    • Malware Privilege Escalation Techniques
      • UAC Bypasses Using Legitimate Apps
      • UAC Bypasses Using COM Objects
      • UAC Bypasses Using Shimming
      • Abusing Services for Privilege Escalation
      • DLL Order Hijacking
      • Privilege Escalation to SYSTEM

گواهینامه‌ی دوره

گواهی نامه Threat Hunting & Incident Response

دوره های مشابه