Threat Hunting Using Sysmon
Threat Hunting Using Sysmon
پس از پرداخت اطلاعات به ایمیل شما ارسال خواهد شد
- متوسط
- مسیر آبی
- ۷ درس
دربارهی این دوره
برای شرکت در دوره بهصورت حضوری، از طریق همین صفحه اقدام کنید و برای شرکت بهصورت آنلاین، به لینک دورهی threat-hunting-using-sysmon-online مراجعه کنید.
با پیچیدهتر شدن تهدیدهای سایبری و بهطور خاص تهدیدهای APT در سالهای اخیر، راهکارها و تخصصهای دفاعی جدیدی درحال شکلگیری و پررنگ شدن هستند تا بتوان با این تهدیدهای مدرن، به شکل مؤثرتری مقابله کرد. یکی از مهمترین این موارد «شکار تهدیدهای سایبری» است. در واقع شکارچیان تهدیدهای سایبری، متخصصهای امنیتی هستند که بهصورت فعال و مداوم بهدنبال شناسایی، ایزوله و خنثیسازی تهدیدهای پیشرفتهای هستند که از دید تجهیزات و راهکارهای تجاری امنیت سازمان دور ماندهاند.
یک شکارچی تهدیدهای سایبری علاوهبر دیدگاه درست امنیتی، به تکنیکها و ابزارهای مختلفی برای شناسایی تهدیدهای موجود در زیرساخت سازمان نیاز دارد. یکی از پرکاربردترین ابزارهای مورد استفاده در شکار تهدیدهای سایبری در زیرساختهای مایکروسافتی، Sysmon نام دارد که در این دوره، به معرفی و آموزش بهرهبرداری از آن پرداخته خواهد شد. Sysmon بخشی از مجموعه ابزارهای Sysinternals ویندوز است که بهصورت سرویس یا درایور بر روی سیستمعامل نصب میشود.
با استفاده از این ابزار میتوان وقایع مختلفی در خصوص پروسسها، ارتباطات شبکهای، وقایع سیستمی، تغییرات در فایلها و بسیاری موارد دیگر را با جزئیات کامل ثبت و بهمنظور تحلیلهای بیشتر، به سامانهی SIEM ارسال کرد. با حضور در این کارگاه، ضمن آشنایی با Sysmon، مواردی مانند پیکربندی Sysmon، ساختار و گامهای امنیت سایبری، مفاهیم شکار تهدیدهای سایبری، ساختار Event IDهای ویندوز، شناسایی حملههای سایبری و بسیاری از موارد دیگر را بهصورت عملی خواهید آموخت. همچنین، چندین سناریوی حملههای سایبری در دنیای واقعی و شیوهی شکار آنها را در کنار هم تحلیل خواهیم کرد.
مدتزمان این دوره ۲۴ ساعت است که طی ۸ جلسهی ۳ساعته، روزهای یکشنبه و چهارشنبهی هر هفته از ساعت ۱۷:۰۰ تا ۲۰:۰۰، بهصورت حضوری و آنلاین در آکادمی راوین برگزار خواهد شد. شروع این دوره از چهارشنبه ۱۹ اردیبهشت ۱۴۰۳ خواهد بود.
آدرس: خیابان مطهری، خیابان سلیمانخاطر، بین کوچهی مسجد و گروس، پلاک ۱۰۵
این دوره به چه افرادی توصیه میشود؟
- کارشناسان شکار تهدیدهای سایبری
- افراد علاقهمند به امنیت شبکههای مبتنیبر ویندوز
- مشاوران امنیت سایبری
- کارشناسان امنیت سایبری در سازمانها و بخش SOC
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- برای حضور در این کارگاه نیاز است تا با زیرساختهای مبتنیبر مایکروسافت و سیستمعامل ویندوز آشنایی داشته باشید. مهمترین پیشنیازهای دانشی و تجربی برای حضور در این دوره به شرح زیر است:
- آشنایی با سیستمعامل ویندوز
- آشنایی با مفاهیم حملههای سایبری در زیرساخت شبکه
- آشنایی با مفاهیم شبکه و پروتکلها
سرفصلهای دوره
-
Structure and Chain of Advanced Attack
-
Cyber Kill Chain
-
Diamond Model
-
LNK File Leads to Domain Wide Ransomware
-
APT in Real World
-
APT 27 Analysis
-
We need a common language: MITRE ATT&CK
-
-
Dive To Threat Hunting
-
What Is Threat Hunting
-
Assume Breach
-
Post Exploitation
-
Security Monitoring vs. Threat Hunting
-
What Threat Hunting is NOT!
-
Sqrrl Hunt Maturity Model
-
Hunt Maturity Model – Components
-
Desired Threat Hunting Experience – Skillsd
-
-
Advanced - Defensive
-
Glance To Sysmon Sysinternals
-
Sysmon Installation
-
Data Shippers
-
Log Forwarding
-
Elastic Infrastructure
-
Review - Data Sources
-
Review - Data Sensors
-
Data Governance
-
What is a data model?
-
Data Modeling Mapped to Adversary
-
Lateral Movement via WMI
-
-
Sysmon Telemetry
-
Intro To ETW
-
Logman For Analysis
-
-
What Is Process
-
Thread
-
Token
-
SACL
-
Access
-
-
Windows API call
-
Kernel Callback
-
-
Sysmon Event IDs
-
Process creation
-
A process changed a file creation time
-
Network connection
-
Sysmon service state changed
-
Process terminated
-
Driver loaded
-
Image loaded
-
Create Remote Thread
-
Raw Access Read
-
Process Access
-
File Create
-
Registry Event (Object create and delete)
-
Registry Event (Value Set)
-
Registry Event (Key and Value Rename)
-
File Create Stream Hash
-
Service Configuration Change
-
Pipe Event (Pipe Created)
-
Pipe Event (Pipe Connected)
-
Wmi Event (Wmi Event Filter activity detected)
-
Wmi Event (Wmi Event Consumer activity detected)
-
Wmi Event (Wmi Event ConsumerToFilter activity detected)
-
DNS Event (DNS query)
-
File Delete (File Delete archived)
-
Clipboard Change (New content in the clipboard)
-
Process Tampering (Process image change)
-
FileDeleteDetected (File Delete logged)
-
FileBlockExecutable
-
FileBlockShredding
-
FileExecutableDetected
-
-
Sysmon Configuration
-
Rule create
-
Rule Group
-
Filter Events
-
Event Tags
-
How Attackers Bypass Sysmon
-
Hooking API Calls
-
Sysmon Driver
-
-
-
Threat Hunting With Sysmon
-
Hunting Lateral Movement Techniques
-
Named Pipe pivoting
-
DCOM
-
WinRM – Brute Ratel C4
-
-
Hunting Persistent Techniques
-
Windows Management Instrumentation (WMI) - Metador APT
-
COM Object Hijacking – Turla APT
-
UserInitMprLogonScript – APT28
-
Other Techniques
-
-
Hunting Credential Access Techniques
-
PPLDump
-
Inject SSP
-
LSASS Dump
-
Other Techniques
-
-
Hunting what others don’t want you to know
-
Hunting wiper/ransomware activity observed in Russia-Ukraine conflict
-
Printnightmare
-
Microsoft.BackgroundIntelligentTransfer.Management.Interop.dll for BITS Activity
-
-
lolbas
-
sftp.exe – DeathStalker APT
-
certutil.exe – APT28
-
mshta.exe - Lazarus/APT38 cluster
-
-
APT Attacks – Analyzing the Full Chain
-
Analyzing latest Tactics, Techniques, and Procedures (TTPs) of two different APTs.
-
-
Process Injection Hunting
-
What is process injection
-
apc queue injection
-
-
Loading and Execute Command with System.automation.dll
-