"*" indica campos obrigatórios
Preencha o formulário a seguir para efetuar um novo cadastro de acesso ao site ESR.
Em caso de não possuir CPF, por favor entre em contato conosco clicando aqui.
"*" indica campos obrigatórios
A área de login está de cara nova!
O novo acesso a área de alunos passará a ser feito por meio do CPF ou e-mail, e será necessário atualizar sua senha de cadastro.
* Para os usuários que acessam via CAFe, não será necessário realizar a troca de senha, o login permanece o mesmo.
Atualize sua senha:
"*" indica campos obrigatórios
R$55.000,00
Carga horária:
30 horas
Nível do curso:
Avançado
SEC699 é a oferta avançada da SANS para Purple Team, com foco principal na emulação de adversários para prevenção e detecção de violação de dados. Ao longo deste curso, os alunos aprenderão como os agentes de ameaças da vida real podem ser emulados em um ambiente empresarial realista. No verdadeiro estilo purple, o objetivo do […]
Se você precisa de uma proposta personalizada para se capacitar e/ou capacitar sua equipe, preencha o formulário e fale com nossos consultores.
SEC699 é a oferta avançada da SANS para Purple Team, com foco principal na emulação de adversários para prevenção e detecção de violação de dados. Ao longo deste curso, os alunos aprenderão como os agentes de ameaças da vida real podem ser emulados em um ambiente empresarial realista. No verdadeiro estilo purple, o objetivo do curso é educar os alunos sobre como as técnicas adversárias podem ser emuladas e detectadas. Uma continuação natural do SEC599, esta é uma oferta de curso SANS avançado, com 60 por cento do tempo de aula gasto em laboratórios.Os destaques das atividades de classe incluem: Uma seção de curso sobre estratégias típicas de automação, como Ansible, Docker e Terraform. Eles podem ser usados para implantar um ambiente corporativo multidomínio completo para emulação de adversários com o pressionar de um botão. Construir um processo, ferramentas e planejamento adequados para a formação de equipes purple Construir planos de emulação de adversários que imitam agentes de ameaças da vida real, como APT-28, APT-34 e Turla, a fim de executar esses planos usando ferramentas como Covenant e Caldera Construir um processo, ferramentas e planejamento adequados para o agrupamento purple Técnicas detalhadas, como ataques de delegação Kerberos, redução de superfície de ataque/desvios de Applocker, AMSI, injeção de processo, sequestro de objetos COM e muito mais Construção de regras SIGMA para detectar as técnicas acima Uma pedra angular espetacular que coloca Read Team e Blue Team um contra o outro. Enquanto o Read Team tenta se infiltrar na organização, o Blue Team constrói uma capacidade de detecção para detectar técnicas adversárias.Os autores do curso Erik Van Buggenhout (o principal autor SEC599) e James Shewmaker (o co-autor SEC660) são especialistas certificados em segurança GIAC (GSEs) e são profissionais práticos que construíram uma compreensão profunda de como os ataques cibernéticos funcionam por meio de red team (testes de penetração) e atividades de Blue Team (resposta a incidentes, monitoramento de segurança, caça a ameaças). Neste curso, eles combinam esses conjuntos de habilidades para educar os alunos sobre métodos de emulação de adversários para prevenção e detecção de violação de dados.A jornada de seis partes do SEC699 está estruturada da seguinte forma: Na Seção 1, estabeleceremos as bases necessárias para executar com sucesso a emulação de adversários e a formação de equipes purple. Como este é um curso avançado, vamos nos aprofundar em várias ferramentas que usaremos e aprenderemos como estender ainda mais as ferramentas existentes. As seções 2 a 4 serão bastante práticas, apresentando várias técnicas avançadas e suas defesas (focadas em estratégias de detecção). A Seção 2 enfoca as técnicas de Acesso Inicial, a Seção 3 cobre o Movimento Lateral e a Escalação de Privilégios, enquanto a Seção 4 trata da Persistência. Na Seção 5, criaremos um plano de emulação para três agentes de ameaças diferentes. Esses planos de emulação serão executados no Covenant e Caldera. Na Seção 6, os alunos participarão de um laboratório de dia inteiro que colocará o read team e blue team um contra o outro. Enquanto o read team tenta se infiltrar na organização, o blue team constrói uma capacidade de detecção para detectar técnicas adversárias.
TODO CONTEÚDO DO CURSO É MINISTRADO EM INGLÊS. Importante! Traga seu próprio sistema configurado de acordo com estas instruções!Um sistema configurado corretamente é necessário para participar totalmente deste curso. Se você não ler e seguir cuidadosamente estas instruções, provavelmente sairá insatisfeito da aula porque não poderá participar dos exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso. Você também pode assistir a uma série de vídeos curtos sobre esses tópicos no seguinte link da web: https://sansurl.com/sans-setup-videosRequisitos obrigatórios do sistema Sistema executando Windows, Linux ou Mac OS X versão 64 bits – Observação: sistemas Apple que usam o processador M1 não podem realizar a virtualização necessária neste momento e não podem ser usados para este curso. Pelo menos 8 GB de RAM 60 GB de espaço em disco disponível (recomenda-se mais espaço) Acesso de administrador ao sistema operacional O software antivírus precisará ser desativado para instalar algumas das ferramentas Uma porta USB disponível NIC sem fio para conectividade de rede As máquinas NÃO devem conter quaisquer dados pessoais ou da empresa Verifique se no BIOS, o suporte virtual está ATIVADO Desativar o Windows 10 Credential Guard e o Device GuardEtapas obrigatórias de preparação antes de vir para a aula: Sistemas operacionais host de 64 bits instalados (Windows é recomendado) Baixe e instale VM Workstation Pro 15.5 ou superior , VMware Fusion 11.5 ou superior ou VMware Workstation Player 15.5 ou superior em seu sistema antes do início da aula Adobe Acrobat ou outro aplicativo leitor de PDF Uma conta da AWS é necessária para fazer exercícios práticos durante este curso. O SANS fornece uma conta para a duração dos eventos LIVE, mas para uso além da sala de aula e acesso OnDemand, uma conta da AWS NÃO é fornecida. Se necessário, a conta da AWS deve ser criada antes de iniciar o curso. Sua capacidade de executar os exercícios práticos será atrasada se você não tiver acesso a uma conta utilizável da AWS em sala de aula. Se uma conta pessoal da AWS for usada para esta aula, estime os custos adicionais para a semana de uso da conta da AWS em US$ 50 ou mais, caso você se desvie das instruções. Para obter instruções detalhadas sobre essas etapas de preparação, consulte o Lab Zero na área MyLabs de https://sans.org/.É fundamental que sua CPU e sistema operacional suportem 64 bits para que nossa máquina virtual convidada de 64 bits seja executada em seu laptop. A VMware oferece uma ferramenta gratuita para Windows e Linux que detecta se o seu host oferece suporte ou não a máquinas virtuais convidadas de 64 bits. Para mais soluções de problemas, este artigo também fornece boas instruções para os usuários do Windows determinarem mais sobre os recursos da CPU e do sistema operacional. Para Macs, use esta página de suporte da Apple para determinar a capacidade de 64 bits.Baixe e instale VM Workstation Pro 15.5 ou superior, VMware Fusion 11.5 ou superior ou VMware Workstation Player 15.5 ou versões superiores em seu sistema antes do início da aula. Se você não possui uma cópia licenciada do VMware Workstation ou Fusion, pode baixar uma cópia de avaliação gratuita de 30 dias da VMware. A VMware enviará a você um número de série com limite de tempo se você se registrar para a avaliação em seu site.Outros softwares de virtualização, como VirtualBox e Hyper-V, não são apropriados devido a problemas de compatibilidade e solução de problemas que você pode encontrar durante as aulas.O VMware Workstation Pro e o VMware Player no Windows 10 não são compatíveis com as tecnologias Windows 10 Credential Guard e Device Guard. Desative esses recursos durante a aula, se estiverem ativados em seu sistema, seguindo as instruções deste documento.A mídia do seu curso agora será entregue por download. Os arquivos de mídia da aula podem ser grandes, alguns na faixa de 40 a 50 GB. Você precisa de bastante tempo para que o download seja concluído. As conexões e a velocidade da Internet variam muito e dependem de muitos fatores diferentes. Portanto, não é possível dar uma estimativa do tempo que levará para baixar seus materiais. Inicie os downloads da mídia do curso assim que receber o link. Você precisará da mídia do curso imediatamente no primeiro dia de aula. Esperar até a noite anterior ao início da aula para iniciar o download tem uma grande probabilidade de falha.O SANS começou a fornecer materiais impressos em formato PDF. Além disso, algumas classes estão usando uma pasta de trabalho eletrônica além dos PDFs. O número de aulas usando eWorkbooks crescerá rapidamente. Neste novo ambiente, descobrimos que um segundo monitor e/ou um tablet pode ser útil para manter os materiais de aula visíveis enquanto o instrutor está apresentando ou enquanto você está trabalhando em exercícios de laboratório.
SEÇÃO 1: Emulação Adversária para Prevenção e detecção de brechasNa Seção 1, estabeleceremos as bases para o restante do curso: Aproveitar o poder da automação para implantar nossa infraestrutura de laboratório Aprender como construir uma equipe purple internamente, abrangendo processo, abordagem e ferramentas Acompanhamento de exercícios de formação de equipes roxas usando VECTR Construir um pipeline de emulação e detecção usando uma variedade de tecnologias disponíveis (SIGMA para desenvolvimento de regras de detecção e várias ferramentas de emulação de adversários, com foco em Covenant e Caldera)Mesmo que seja apenas a primeira seção, esta seção é fortemente prática, pois os alunos completarão cinco exercícios diferentesSEÇÃO 2: Emulação e Detecção de Estratégias de Intrusão IniciaisOs seguintes módulos serão abordados na Seção 2: Começaremos com uma visão geral de última geração sobre estratégias de ataque e defesas atuais para execução inicial. Vamos ampliar as defesas integradas fornecidas pela Microsoft, como a interface de varredura antimalware (AMSI). Como funciona, quão eficaz é e pode ser contornado? Controlar a execução em seus endpoints usando regras de redução de superfície de ataque (ASR) introduzidas no Windows 10, as regras ASR são uma camada de segurança adicional que pode ser usada para impedir a execução de cargas maliciosas. Vamos ampliar sua eficácia e testar vários desvios. Controlar a execução em seus endpoints usando o AppLocker. Introduzido no Windows 7, o Applocker é uma técnica de controle de aplicativos que pode ser usada para impedir a execução de cargas maliciosas. Vamos ampliar sua eficácia e testar vários desvios. A ascensão das ferramentas Endpoint Detection & Response (EDR) forneceu às organizações um meio de possibilitar a detecção detalhada e realizar atividades de resposta imediata em seus endpoints. Essas ferramentas mudaram o cenário de segurança e forçaram os adversários a serem criativos. Veremos várias estratégias de desvio de EDR, incluindo falsificação de ID de processo pai-filho, falsificação de argumento de linha de comando, injeção e esvaziamento de processo e, finalmente, o uso de syscalls diretos. Fica bastante técnico aquiSEÇÃO 3: Escalonamento de privilégios e emulação e detecção de movimento lateralOs seguintes módulos serão abordados na Seção 3: Enumeração de recursos e configurações do Active Directory para mapear a superfície geral de ataque de um ambiente AD. Noções básicas sobre o processo LSASS (Local Security Authority Subsystem Service). Qual é o seu propósito e como é tradicionalmente atacado? Aprofundaremos e explicaremos tópicos como Provedores de Suporte de Segurança (SSPs) e Pacotes de Autenticação (APs). Após esta explicação, vamos ampliar a execução e detecção de ataques de despejo LSASS usando uma variedade de ferramentas (incluindo Mimikatz, Dumpert, ProcDump) Dado o foco dos produtos de segurança em LSASS, também investigaremos outras técnicas de despejo de credenciais. Como os adversários podem roubar credenciais sem tocar no LSASS? As principais técnicas incluirão Internal Monologue (rebaixamento de NTLMv1), roubo de NTDS.dit e DCSync. Forçando autenticação do Windows: Com acesso em nível de rede (ou uma carga inicial em um dispositivo conectado à rede), como podemos obter credenciais adicionais forçando outros sistemas Windows a se conectarem a nós? Tópicos típicos incluem o uso de LLMNR, mas também ataques MitM Uma atualização do Kerberos e dos ataques tradicionais, como Kerberoasting, ASReproasting, tickets dourados, tickets prateados e o ataque Skeleton Key. Após a atualização, vamos nos concentrar em estratégias de ataque avançadas, focadas principalmente em ataques de delegação. Abordaremos delegação irrestrita, delegação restrita e delegação restrita baseada em recursos.SEÇÃO 4: Emulação e Detecção de PersistênciaOs seguintes módulos serão abordados na Seção 4: Uma explicação sobre os limites de segurança no ambiente AD e como os adversários podem alternar entre diferentes domínios e florestas Explicar as estratégias típicas de persistência usadas pelos adversários. Também discutiremos estratégias típicas de detecção Abuso do Modelo de Objeto Componente (COM) para estabelecer uma base persistente em um ambiente de destino. Os ataques que abordaremos incluem Phantom COM Objects e COM Search Order Hijacking Obtenção de persistência por meio do uso do Windows Management Instrumentation (WMI). Explicaremos filtros de eventos WMI, consumidores de eventos e filtros de eventos para associações de consumidores Estabelecendo persistência por meio de DLLs como AppCert, AppInit e Netshell Aproveitando o Microsoft Office para persistência, com foco principal em travessuras de modelo e suplementos maliciosos Abusando do aplicativo Compatibility Toolkit (ACT) para obter persistência por meio de shims de aplicativo Persistência furtiva usando o ADSEÇÃO 5: Azure AD e planos de emulaçãoOs seguintes módulos serão abordados na Seção 5: Primeiro, faremos uma palestra sobre estratégias de ataque do Azure AD. Apresentaremos o Azure AD e seus mecanismos de segurança e como eles podem ser atacados. Também examinaremos estratégias de log para o Azure AD. Depois, construiremos planos de emulação para três agentes de ameaças específicos: APT28, APT-34 e Turla. Ao concluir os planos de emulação, os executaremos usando Caldera e Covenant SEÇÃO 6: Capstone da emulação adversáriaNesta seção final do curso SEC699, os participantes podem escolher se querem se juntar ao read team ou blue team em uma batalha épica para se infiltrar ou defender o ambiente corporativo. Os alunos aproveitarão todas as ferramentas e técnicas que aprenderam ao longo do curso!
Este é um curso avançado e rápido que requer um forte desejo de aprender técnicas avançadas de read team e blue team. Os seguintes cursos SANS são recomendados antes ou como acompanhamento para fazer este curso: SEC599 e SEC560.Ainda é recomendado:Experiência com programação em qualquer linguagem é altamente recomendada. No mínimo, os alunos são aconselhados a ler os conceitos básicos de programação.Você também deve ser bem versado com os fundamentos do teste de penetração antes de fazer este curso. A familiaridade com Linux e Windows é obrigatória. É necessária uma sólida compreensão dos conceitos de TCP/IP e de rede.
Ao final do curso, o (a) aluno (a) será capaz de: Criar uma equipe purple em sua organização Criar planos realistas de emulação de adversários para proteger melhor sua organização Desenvolver ferramentas e plug-ins personalizados para ferramentas existentes para ajustar suas atividades de read team e purple team Entregar ataques avançados, incluindo bypasses de lista branca de aplicativos, ataques crossforest (abuso de delegação) e estratégias de persistência furtiva Construir regras SIGMA para detectar técnicas avançadas de adversários