"*" indica campos obrigatórios
FOR509: Análise Forense em nuvens corporativas e resposta à incidentes (36 CPEs)
R$59.900,00
Carga horária:
36 horas
Nível do curso:
Avançado
O mundo está mudando e os dados de que precisamos para conduzir nossas investigações também. As plataformas de nuvem mudam a forma como os dados são armazenados e acessados. Eles removem a capacidade do examinador de acessar diretamente os sistemas e usar métodos clássicos de extração de dados. Infelizmente, muitos examinadores ainda estão tentando forçar […]
Proposta
Se você precisa de uma proposta personalizada para se capacitar e/ou capacitar sua equipe, preencha o formulário e fale com nossos consultores.
O mundo está mudando e os dados de que precisamos para conduzir nossas investigações também. As plataformas de nuvem mudam a forma como os dados são armazenados e acessados. Eles removem a capacidade do examinador de acessar diretamente os sistemas e usar métodos clássicos de extração de dados. Infelizmente, muitos examinadores ainda estão tentando forçar métodos antigos de exame no local para plataformas hospedadas na nuvem. Em vez de resistir à mudança, os examinadores devem aprender a abraçar as novas oportunidades apresentadas a eles na forma de novas fontes de evidências. FOR509: Análise Forese em nuvens empresariais e resposta à incidentes aborda a necessidade atual de atualizar os examinadores com o mundo em rápida mudança dos ambientes corporativos de nuvem, descobrindo as novas fontes de evidências que só existem na nuvem.O que você vai aprenderEncontre a tempestade na nuvemO curso FOR509: Análise Forese em nuvens empresariais e resposta à incidentes ajudará você a:Entenda os dados forenses disponíveis apenas na nuvemImplemente as melhores práticas no registro em nuvem para DFIRSaiba como aproveitar os recursos do Microsoft Azure, AWS e Google Cloud Platform para coletar evidênciasEntenda quais logs o Microsoft 365 e o Google Workspace têm disponíveis para análise dos analistasSaiba como mover seus processos forenses para a nuvem para um processamento de dados mais rápidoCom FOR509: Análise Forese em nuvens empresariais e resposta à incidentes, os examinadores aprenderão como cada um dos principais provedores de serviços em nuvem (Microsoft Azure, Amazon AWS e Google Cloud Platform) estão ampliando os recursos do analista com novas fontes de evidências não disponíveis em investigações tradicionais no local. De equivalentes de nuvem de monitoramento de tráfego de rede à interação direta do hipervisor para preservação de evidências, a perícia não está morta. Ela renasce com novas tecnologias e capacidades.A resposta a incidentes e a perícia são principalmente sobre seguir migalhas de pão deixadas pelos invasores. Essas migalhas de pão são encontradas principalmente em logs. Seu conhecimento do processo de investigação é muito mais importante do que a mecânica de aquisição dos logs.Esta aula é principalmente uma aula de análise de log para ajudar os examinadores a se familiarizarem rapidamente com as técnicas de investigação baseadas em nuvem. É fundamental saber quais logs estão disponíveis na nuvem, se estão ativados por padrão e como interpretar o significado dos eventos que contêm.Numerosos laboratórios práticos ao longo do curso permitirão que os examinadores acessem as evidências geradas com base nos incidentes e investigações mais comuns. Os examinadores aprenderão de onde extrair dados e como analisá-los para encontrar o mal. Os dados estarão disponíveis em sua VM em vez de serem acessados ??diretamente pela nuvem para garantir uma experiência de laboratório consistente.
FOR509 TÓPICOS DO CURSO FORENSE DE NUVEM EMPRESARIALInfraestrutura de nuvem e fontes de dados de IRInvestigações do Microsoft 365 e da API do GraphResposta a incidentes do AzureResposta a incidentes da AWSInvestigações do Google WorkspaceResposta a incidentes do GCPO QUE VOCÊ VAI RECEBERSOF-ELK(R) Virtual Machine – um dispositivo disponível publicamente executando o Elastic Stack e o conjunto personalizado de configurações e dados de laboratório do autor do curso. A VM é pré-configurada para ingerir logs de nuvem do Microsoft 365, Azure, AWS, Google Workspace e GCP. Ele será usado durante a aula para ajudar os alunos a percorrer o grande número de registros que provavelmente encontrarão durante uma investigação típica.Dados do caso para examinar durante a aula.Pasta de trabalho eletrônica com instruções detalhadas passo a passo e exemplos para ajudá-lo a dominar a perícia na nuvemRequisitos do laptopImportante! Configure seu próprio sistema configurado de acordo com estas instruções!É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.Isso é senso comum, mas vamos dizer de qualquer maneira. Faça backup do seu sistema antes da aula. Melhor ainda, não tenha nenhum dado sensível armazenado no sistema. SANS não pode ser responsável por seu sistema ou dados.Clique aqui para acessar os requisitos necessários para realizar o curso
FOR509.1: Microsoft 365 e API de gráficoExiste um universo de dados por aí a ser descobertoAntes de começar a explorar o universo de dados em nuvem, você deve aprender onde e como ele existe. Nesta seção, você aprenderá sobre as arquiteturas de nuvem mais populares (IaaS, PaaS, SaaS) e como cada uma altera suas possibilidades de investigação. Você entenderá qual registro e acesso a dados é fornecido por cada arquitetura de nuvem e como extrair e processar esses dados.Apresentaremos o SOF-ELK, um SIEM de código aberto feito para análise de logs corporativos que se estende facilmente à análise forense em nuvem. Em seguida, entramos no Microsoft 365, que é uma plataforma SaaS que fornece o conjunto de aplicativos do Microsoft Office, incluindo Excel e Word. Além disso, o Microsoft 365 implementa várias ferramentas de comunicação e colaboração, como Exchange, SharePoint e Teams. Terminamos o dia explorando a API do Microsoft Graph e revisando os logs que ela gera.FOR509.2: Microsoft AzureUm dos provedores de nuvem mais populares para grandes empresas é a nuvem Microsoft Azure. O Azure oferece uma impressionante variedade de serviços e, com isso, várias fontes de dados para explorarmos. Nesta seção, aprenderemos sobre o locatário, a assinatura e os logs de diagnóstico do Azure. Por fim, descobriremos como implantar nossas próprias ferramentas de análise na nuvem.FOR509.3: Amazon Web Services (AWS)Agora que entendemos o que é possível na Nuvem e as novas fontes de evidência DFIR que existem para nós, é hora de recorrer ao líder de mercado em serviços de Nuvem. Nesta seção, exploraremos como a AWS pode ser usada para o respondente, como implantar seu próprio sistema de análise em sua região, as novas e relevantes fontes de log para sua investigação e como reunir tudo isso em cenários de laboratório projetados para ajudá-lo rapidamente resolver os casos mais comuns da AWS.FOR509.4: Google WorkspaceComo uma das primeiras soluções SaaS para organizações desde 2006, o Google Workspace tem uma ampla variedade de artefatos de evidências para os investigadores usarem ao conduzir respostas a incidentes ou investigações internas. Conhecer os vários locais para extrair evidências e como essas evidências diferem dependendo de onde são extraídas formam um dos principais conceitos das investigações do Google Workspace. Os alunos verão quatro dos ataques mais comuns no Google Workspace e como investigar esses ataques em profundidade.Assim como em todas as plataformas de nuvem, os alunos verão as limitações das evidências preservadas e como estender a vida útil das evidências no Google Workspace. Os alunos terão acesso prático às evidências e aprenderão a melhor forma de analisar as evidências do Google Workspace.FOR509.5: Google CloudO Google Cloud Platform (GCP) oferece muitos serviços e altera fundamentalmente a forma como o gerenciamento de acesso de identidade é tratado em comparação com AWS e Azure, além de criar muitos itens de segurança e evidências que são extremamente úteis para uma equipe de resposta a incidentes. Usando uma combinação da plataforma GCP, auditoria integrada, registro baseado em agente e ferramentas externas de análise de registro, como o ELK. Esta seção ensinará aos profissionais do DFIR com conhecimento limitado do GCP como conduzir investigações sobre ataques comuns ao GCP.FOR509.6: Desafio de invasão de várias nuvensNa seção final, os alunos se dividirão em equipes para resolver uma intrusão que abrange todos os três principais provedores de nuvem. Os alunos precisarão consultar todos os seus novos conhecimentos da semana e dividir e conquistar as evidências para descobrir como a intrusão ocorreu. Vários sistemas de nuvem interconectados serão examinados enquanto os alunos trabalham para determinar o que aconteceu.
Quem deve participar do FOR509?Membros da equipe de resposta a incidentes que podem precisar responder a incidentes/intrusões de segurança que afetam software, infraestrutura ou plataformas hospedadas na nuvem e precisam saber como detectar, investigar, corrigir e recuperar sistemas comprometidos em toda a nuvem corporativa.Caçadores de Ameaças que procuram entender as ameaças mais completamente e como aprender com elas para caçar ameaças com mais eficiência e combater seus ofícios.Analistas de SOC que procuram entender melhor os alertas, desenvolver as habilidades necessárias para fazer a triagem de eventos e aproveitar totalmente as fontes de log na nuvem.Analistas forenses digitais experientes que desejam consolidar e aprimorar sua compreensão da perícia forense baseada em nuvem.Profissionais de segurança da informação que apoiam e auxiliam diretamente na resposta a incidentes e invasões de violação de dados.Agentes federais e profissionais de aplicação da lei que desejam dominar investigações avançadas de intrusão e resposta a incidentes e expandir suas habilidades de investigação além da análise forense digital tradicional baseada em host.Egressos dos seguintes cursos do SANS FOR500, FOR508, SEC541 e SEC504, que desejam adicionar análise forense baseada em nuvem à sua caixa de ferramentas.O FOR509 é um curso intermediário a avançado que se concentra em infraestrutura de nuvem e análise de log. Este curso ensina os alunos a usar dados criados pelo provedor de nuvem que aumentam, substituem ou estendem os artefatos que eles já aprenderam em aulas anteriores de SANS.Os alunos podem se beneficiar de ter feitoFOR500: Análise Forense do WindowsFOR508: Resposta Avançada a Incidentes, Caça a Ameaças e Forense DigitalSEC488: Fundamentos de Segurança na Nuvemou ter experiência anterior relevante.
FOR509: Análise Forese em nuvens empresariais e resposta à incidentes PREPARARÁ SUA EQUIPE PARA:Aprender e dominar as ferramentas, técnicas e procedimentos necessários para localizar, identificar e coletar dados de forma eficaz, não importa onde estejam localizadosIdentificar e utilize novos dados disponíveis apenas em ambientes de nuvemUtilizar ferramentas nativas da nuvem para capturar e extrair evidências de host tradicionaisAnalisar e filtrar rapidamente grandes conjuntos de dados usando tecnologias escaláveis, como o Elastic StackEntender quais dados estão disponíveis em vários ambientes de nuvem