Loading...

دوره پیشرفته پاسخگویی به رخدادهای امنیتی و جرم شناسی دیجیتالی

توضیحات

دوره پیشرفته پاسخگویی به رخدادهای امنیتی و جرم شناسی دیجیتالی با هدف شناسائی تهدیدات APT طراحی شده است و هدف آن کاهش زمانی است که نفوذ گر در سازمان شما رخنه کرده است. در این دوره می‌آموزید که فعالیت‌های مرتبط با جمع آوری شواهد و مدارک را بصورت اکتیو انجام دهید و منتظر پیام سنسورها و مکانیزم های دیگر امنیت در شبکه نماید چراکه ممکن است حملات پیشرفته توسط این مکانیزم‌ها شناسایی نشوند.

در فصل اول این دوره، دانشجویان با مراحل Incident response آشنا می شوند و ارتباط بین شکار تهدیدات و پاسخگویی به حوادث را بررسی می‌کنند و در ادامه بدافزارها شیوه های دائمی کردن دسترسی آن ها در APT‌ها بررسی می شود و نقش VMI در حملات APT بررسی می‌شود و شیوه فارنزیک آن‌ها آموزش داده می‌شود.

در فصل دوم به بررسی فریم ورک‌ها مختلف IR خواهیم پرداخت و با یکی از معروف‌ترین آن ها که در powershell کار می‌کند به صورت عملیاتی کار خواهید کرد. در ادامه لاگ‌های سیستم عامل ویندوز با دید شکار تهدیدات بررسی می‌شود حملات مختلفی که تحت kerberos اتفاق می‌افتد انجام و سپس شیوه شناسایی آن توضیح داده می شود.

در پایان هم به سراغ فرمت ذخیره‌سازی محبوب و پرکاربرد NTFS خواهیم رفت و موارد امنیتی موجود در آن را بررسی خواهیم کرد. 

محتوای آموزشی دوره
کتاب مرجع آموزشی - فصل اول
کتاب مرجع آموزشی - فصل دوم
کتاب مرجع آموزشی - فصل سوم
کتاب مرجع آموزشی - فصل چهارم و پنجم
کتاب مرجع آموزشی - تمرین‌ها
فصل اول
مقدمه‌ای بر دوره و محتوای آموزشی آن - بخش اول
مقدمه‌ای بر دوره و محتوای آموزشی آن - بخش دوم
اهداف و درس آموخته‌های دوره آموزشی
تشریح سناریو آموزشی و ابعاد مختلف آن
فرآیند و چرخه پاسخگویی به رخداد
تفاوت بین Hunting و Reactive و چرخه پاسخگویی
تفاوت بین Forensic و Threat Hunting
اصول تشکیل تیم‌های امنیتی و نقش افراد در این تیم
نکات مهم در بخش قطع دسترسی افردا نفوذگر به سیستم
تفاوت واژه‌های ریسک، خطر، آسیب‌پذیری و سایر واژه‌ها در آسیب‌پذیری
شناسایی و تحلیل نفوذ انجام شده به سیستم
تفاوت مباحث مطرح شده در نسخه 2019 منبع آموزشی - بخش اول
تفاوت مباحث مطرح شده در نسخه 2019 منبع آموزشی - بخش دوم
سناریو عملی بخش اول
ماهیت و روش‌ها و چالش‌های شناسایی Malwareها
روش‌های شناسایی Malware و چیت شیت مربوطه - بخش اول
روش‌های شناسایی Malware و چیت شیت مربوطه - بخش دوم
بررسی مکانیزم Malware Presistence - بخش اول
بررسی مکانیزم Malware Presistence - بخش دوم
سناریو عملی شناسایی Malware - بخش اول
سناریو عملی شناسایی Malware - بخش دوم
سناریو عملی شناسایی Malware - بخش سوم
انواع روش‌های بررسی سیستم‌های سازمانی و کنترل از راه دور
مروری بر مباحث قبلی و تفاوت مراجع نسخه 2016 و 2019
چالش‌های تشخیص حملات جدید و استفاده از WMIC
استفاده از ابزار Power Shell در حوزه IR
آموزش استفاده از اسکریپت‌های Power Shell و ابزار Kansa
بررسی حملات WMI - بخش اول
بررسی حملات WMI - بخش دوم
بررسی حملات WMI - بخش سوم
استخراج شواهد نفوذ از طریق فایل‌های سیستمی - بخش اول
استخراج شواهد نفوذ از طریق فایل‌های سیستمی - بخش دوم
فصل دوم
مقدمه‌ای بر مباحق و سرفصل‌های فصل دوم
نحوه انجام و راه‌های پیشگیری از Credential Harvesting
بررسی و تحلیل مراحل نفوذ یک هکر به سیستم
اقدامات قابل انجام برای جلوگیری از نفوذ در ویندوز7 و8 و 10
Hash کردن اطلاعات برای جلوگیری از سرقت اطلاعات
استفاده از توکن برای جلوگیری از نفوذ
راهکار Cashed Credentials در جلوگیری از نفوذ
راهکار Ticket و NTDS در حملات و روش‌های مقابله با آن‌ها
مروری بر موضوع Windows Prefetch
معرفی ابزارهای جستجوی شواهد نفوذ در حوزه اجرای برنامه‌ها
اجرای عملی سناریوهای بررسی شواهد نفوذ - بخش اول
اجرای عملی سناریوهای بررسی شواهد نفوذ - بخش دوم
انواع تحلیل‌های مبتنی بر Event Log - بخش اول
انواع تحلیل‌های مبتنی بر Event Log - بخش دوم
انواع تحلیل‌های مبتنی بر Event Log - بخش سوم
انواع تحلیل‌های مبتنی بر Event Log - بخش چهارم
شناسایی اکانت‌های مشکوک و اطلاعات استخراج شده توسط آن‌ها - بخش اول
شناسایی اکانت‌های مشکوک و اطلاعات استخراج شده توسط آن‌ها - بخش دوم
سناریو بررسی Log کاربرانی که برای لاگین تلاش کردند - بخش اول
سناریو بررسی Log کاربرانی که برای لاگین تلاش کردند - بخش دوم
سناریو بررسی Log کاربرانی که برای لاگین تلاش کردند - بخش سوم
سناریو شناسایی حملات BruteForce Attack
نکات مهم در ساختار لاگ‌های ثبت شده
IDهای مهم در لاگ‌های ثبت شده از Login کاربران
بررسی فعالیت‌های انجام شده در حملات مبتنی بر ریموت - بخش اول
بررسی فعالیت‌های انجام شده در حملات مبتنی بر ریموت - بخش دوم
بررسی لاگ‌های مربوط به Account Logon Event - بخش اول
بررسی لاگ‌های مربوط به Account Logon Event - بخش دوم
بررسی دسترسی Network Share در لاگ‌های ثبت شده
بررسی لاگ‌ها تسک‌های زمان بندی شده در ویندوز - بخش اول
بررسی لاگ‌ها تسک‌های زمان بندی شده در ویندوز - بخش دوم
بررسی لاگ‌های مرتبط با Suspicious Services - بخش اول
بررسی لاگ‌های مرتبط با Suspicious Services - بخش دوم
بررسی سناریو پاک کردن لاگ‌ها در سیستم
بررسی سناریوهای مرتبط با کپی کردن بدافزارها توسط هکر - بخش اول
بررسی سناریوهای مرتبط با کپی کردن بدافزارها توسط هکر - بخش دوم
بررسی شواهد مرتبط با اجرای بدافزارها - بخش اول
بررسی شواهد مرتبط با اجرای بدافزارها - بخش دوم
روش اجرای برنامه‌ها به کمک Patch فایل‌ها
بررسی سناریوهای احتمالی استفاده بدافزارها از رخنه‌های امنیتی
بررسی لاگ‌های PowerShell, VMI و Command Line
بررسی سناریو شناسایی بدافزار روی Process جانبی - بخش اول
بررسی سناریو شناسایی بدافزار روی Process جانبی - بخش دوم
فعال کردن لاگین PowerShell
بررسی لاگ‌های ثبت شده توسط WMIها
ابزارهای محبوب در حوزه تحلیل Log
فصل سوم
تفاوت IR در ماشین‌های در دسترس و ماشین‌های از راه دور
معرفی و نحوه استفاده از ابزار F Responce
بررسی موضوعات TRIAGE و EDR
دلایل اهمیت EDR و چالش‌های آن
مقدمه‌ای بر Memory Forensic
جمع آوری اطلاعات مموری سیستم‌های VM
مراحل آنالیز اطلاعات RAM
آموزش استفاده از ابزار Volatility - بخش اول
آموزش استفاده از ابزار Volatility - بخش دوم
آموزش استفاده از ابزار Volatility - بخش سوم
اطلاعات قابل استخراج از RAM برای جرم شناسی
فرآیندهای مبتنی بر VMI و PowerShell در RAM
مروری بر مباحث و ابزارهای معرفی شده در بخش RAM IR
آنالیز Process Objectها در مموری
آنالیز DDLها در فرآیندهای موجود در RAM
آنالیز Handleها در تحلیل فرآیندهای مموری
بررسی شواهد مشکوک در ارتباطات بین فرآیندها
بررسی شواهد مرتبط با Code Injection
سناریو عملی شواهد مرتبط با Code Injection
بررسی سناریو Reflective Code Injection
نکات مهم در بررسی سناریوهای Code Injection
شناسایی Rootkitها در تحلیل مموری
ابزار psxview در شناسایی روت کیت‌ها - بخش اول
ابزار psxview در شناسایی روت کیت‌ها - بخش دوم
ابزار psxview در شناسایی روت کیت‌ها - بخش سوم
معرفی ابزار CMDSACN و memdump
فصل چهارم
مروری بر مباحث فصل چهارم
مفهوم Pivot Point و نحوه شناسایی آن
فرآیند بررسی و تحلیل TimeLine Analysis
تحلیل زمانی رخدادهای امنیتی در حالت Triage
موارد استثنا در تحلیل زمانی رخدادها
سناریو عملی ایجاد و تحلیل خواندن توالی زمانی - بخش اول
سناریو عملی ایجاد و تحلیل خواندن توالی زمانی - بخش دوم
بررسی دو سناریو فرضی برای تحلیل اتفاقات زمانی
آموزش عملی استفاده از ابزار Plaso - بخش اول
آموزش عملی استفاده از ابزار Plaso - بخش دوم
آموزش عملی استفاده از ابزار Plaso - بخش سوم
آموزش عملی استفاده از ابزار Plaso - بخش سوم
انواع دستورات برای فیلترکردن اطلاعات Timeline
تحلیل TimeLine دو سناریو فرضی
تحلیل اطلاعات بدست آمده در فرمت CSV
فصل پنجم
مروری بر مباحث فصل پنجم
ریکاوری اطلاعات از دست رفته با کمک VSS
آموزش عملی استفاده از VSS
استخراج اطلاعات کاربردی از مموری
استخراج اطلاعات از فرمت NTFS
تحلیل جداول Metadata در فرمت NTFS
تحلیل اطلاعات MFT Header - بخش اول
تحلیل اطلاعات MFT Header - بخش دوم
تحلیل اطلاعات MFT Header - بخش سوم
بررسی اطلاعات استاندارد در فرمت NTFS
بررسی بخش DATA در متادیتا فرمت NTFS
بررسی بخش istat در متادیتا فرمت NTFS
آزمون پایان دوره
آزمون پایان دوره
اساتید