FOR572: Forense avançada de rede: caça à ameaças, análise e resposta à incidentes (36 CPEs)

FOR572: FORENSICS DE REDE AVANÇADA: CAÇA A AMEAÇAS, ANÁLISE E RESPOSTA A INCIDENTES foi projetado para abranger as habilidades mais críticas necessárias para o aumento do foco em comunicações e artefatos de rede no trabalho investigativo atual, incluindo vários casos de uso. Muitas equipes de investigação estão incorporando a busca proativa de ameaças às suas habilidades, nas quais as evidências existentes são usadas com a inteligência de ameaças recém-adquirida para descobrir evidências de incidentes não identificados anteriormente. Outros se concentram em investigações e relatórios pós-incidente. Outros ainda se envolvem com um adversário em tempo real, buscando conter e erradicar o atacante do ambiente da vítima. Nessas situações e muito mais, os artefatos deixados para trás pelas comunicações dos invasores podem fornecer uma visão inestimável de suas intenções, recursos, sucessos e falhas.No FOR572, focamos no conhecimento necessário para examinar e caracterizar as comunicações que ocorreram no passado ou continuam a ocorrer. Mesmo que o invasor remoto mais habilidoso tenha comprometido um sistema com uma exploração indetectável, o sistema ainda precisa se comunicar pela rede. Sem canais de comando e controle e extração de dados, o valor de um sistema de computador comprometido cai para quase zero. Dito de outra forma: os bandidos estão falando – vamos ensiná-lo a ouvir.Este curso abrange as ferramentas, tecnologia e processos necessários para integrar fontes de evidência de rede em suas investigações, com foco na eficiência e eficácia. Você sairá esta semana com uma caixa de ferramentas bem abastecida e o conhecimento para usá-la em seu primeiro dia de volta ao trabalho. Cobriremos todo o espectro de evidências de rede, incluindo análise NetFlow de alto nível, dissecção de baixo nível baseada em pcap, exame de log de rede auxiliar e muito mais. Abordamos como aproveitar os dispositivos de infraestrutura existentes que podem conter meses ou anos de evidências valiosas, bem como colocar novas plataformas de coleta enquanto um incidente está em andamento.Seja você um consultor respondendo ao site de um cliente, um profissional de aplicação da lei auxiliando vítimas de crimes cibernéticos e buscando processos contra os responsáveis, um profissional forense da equipe ou um membro das crescentes fileiras de caçadores de ameaças, este curso oferece experiência prática com cenários do mundo real que ajudarão a levar seu trabalho para o próximo nível. Os alunos anteriores do currículo da SANS SEC e outros defensores da rede se beneficiarão da perspectiva FOR572 sobre operações de segurança à medida que assumem mais responsabilidades investigativas e de resposta a incidentes. Os ex-alunos do SANS DFIR podem usar seu conhecimento de sistema operacional ou dispositivo existente e aplicá-lo diretamente aos ataques baseados em rede que ocorrem diariamente. No FOR572, resolvemos o mesmo calibre de problemas do mundo real sem o uso de imagens de disco ou memória.A maioria dos laboratórios práticos do FOR572 foi desenvolvida em conjunto com a versão mais recente do FOR508, Advanced Incident Response, Threat Hunting e Digital Forensics. Nesses cenários compartilhados, você verá rapidamente que uma abordagem híbrida para exame forense que inclui artefatos de host e rede é ideal. Embora nosso foco principal esteja no lado da rede dessa equação, apontaremos áreas onde a perspectiva do host pode fornecer contexto adicional ou onde a perspectiva da rede fornece uma visão mais profunda. Tanto os ex-alunos quanto os futuros do FOR508 apreciarão o nexo entre esses extensos conjuntos de evidências.Os laboratórios práticos desta classe abrangem uma ampla variedade de ferramentas e plataformas, incluindo o venerável tcpdump e Wireshark para captura e análise de pacotes; NetworkMiner para extração de artefatos; e ferramentas de código aberto, incluindo nfdump, tcpxtract, tcpflow e muito mais. As ferramentas recém-adicionadas no curso incluem a plataforma SOF-ELK gratuita e de código aberto – um dispositivo VMware pré-configurado com uma configuração personalizada do Elastic stack. Essa plataforma de “big data” inclui o banco de dados de pesquisa e armazenamento do Elasticsearch, o mecanismo de ingestão e análise do Logstash e a interface do painel gráfico do Kibana. Juntamente com os arquivos de configuração SOF-ELK personalizados, a plataforma oferece aos forenses uma plataforma pronta para uso para análise de log e NetFlow. Para análise de pacotes completos e busca em escala, a plataforma Moloch gratuita e de código aberto também é coberta e usada em um laboratório prático. Em todos os laboratórios em sala de aula, as habilidades de script de shell são destacadas como maneiras rápidas e fáceis de extrair centenas de milhares de registros de dados.O FOR572 é um curso avançado – começamos com tudo no primeiro dia. Traga toda a sua bagagem de habilidades: técnicas e metodologias forenses, conhecimento de rede full-stack (do fio até os serviços voltados para o usuário), utilitários de shell do Linux e tudo mais. Todos eles irão beneficiá-lo ao longo do material do curso enquanto você COMBATE O CRIME. DESENVOLVA INCIDENTES… UM BYTE (OU PACOTE) DE CADA VEZ.

O que você vai receberDistribuição personalizada da máquina virtual Linux SANS SIFT Workstation com mais de 500 ferramentas forenses digitais e de resposta a incidentes pré-integradas no ambiente, incluindo ferramentas forenses de rede adicionadas apenas para este cursoMáquina Virtual SOF-ELK – um dispositivo disponível publicamente executando a pilha ELK e o conjunto personalizado de configurações e painéis do autor do curso. A VM é pré-configurada para ingerir logs syslog, logs HTTPD e NetFlow e será usada durante a aula para ajudar os alunos a percorrer as centenas de milhões de registros que provavelmente encontrarão durante uma investigação típicaMáquina Virtual Moloch – uma VM autônoma executando o aplicativo Moloch gratuito. O Moloch ingere e indexa dados de rede ao vivo ou arquivos pcap, fornecendo uma plataforma que torna possível a análise de pacotes completos.Dados de casos realistas para examinar durante a aula, de várias fontes, incluindo:Dados NetFlowProxy da Web, firewall e logs do sistema de detecção de intrusãoCapturas de rede no formato pcapRegistros de serviço de redePacote eletrônico para download carregado com exemplos de casos, ferramentas e documentaçãoGIAC Network Forensic AnalystA certificação GIAC Network Forensic Analyst (GNFA) valida a capacidade de um profissional de realizar exames empregando análise de artefatos forenses de rede. Os detentores de certificação GNFA demonstraram uma compreensão dos fundamentos da análise forense de rede, condições normais e anormais para protocolos de rede comuns, processos e ferramentas usadas para examinar logs de dispositivos e sistemas, comunicação sem fio e protocolos criptografados.Arquitetura de rede, protocolos de rede e engenharia reversa de protocolo de redeCriptografia e codificação, análise NetFlow e visualização de ataques, eventos de segurança e registro de incidentesFerramentas e uso de análise de rede, análise de rede sem fio e proxies de segurança de rede de código abertoPara mais informações sobre a certificação GIAC GNFA, clique aqui

FOR572: Forense avançada de rede: caça à ameaças, análise e resposta à incidentesFerramentas fundamentais de análise de rede: tcpdump e Wireshark refresherAplicativos e dados de captura de pacotesConsiderações exclusivas para processos forenses focados em redeTipos e fontes de evidência de redeDesafios de arquitetura de rede e oportunidades para investigadoresInvestigação OPSEC e considerações de pegadaAnálise de protocolo de redeProtocolo de transferência de hipertexto (HTTP)Serviço de nome de domínio (DNS)Protocolo de transferência de arquivos (FTP)Server Message Block (SMB) e protocolos da Microsoft relacionadosProtocolo de transferência de correio simples (SMTP)Ferramentas forenses de rede comercialFerramentas e bibliotecas automatizadasNetFlowIntroduçãoAbordagens de coletaFerramentas NetFlow de código abertoRede sem fioCapturando o tráfego sem fioArtefatos forenses úteis do tráfego sem fioMétodos comuns de ataque e detecçãoRegistre dados para complementar os exames de redeSyslogEncaminhamento de eventos do Microsoft WindowsRegistros do servidor HTTPFirewalls, Sistemas de Detecção de Intrusão (IDSes) e Plataformas de Monitoramento de Segurança de Rede (NSM)Coleta, agregação e análise de logsExame do servidor proxy da WebCriptografiaSecure Sockets Layer (SSL) e Transport Layer Security (TLS)Criação de perfil de clientes TLS sem interceptaçãoIntroduçãoMeddler-in-the-middleSecure Sockets Layer (SSL) e Transport Layer Security (TLS)Trabalho de pacote profundoEngenharia reversa de protocolo de redeReconstrução de carga útil

Quem deve participar do FOR572?Membros da equipe de resposta a incidentes e forenses que estão expandindo seu escopo investigativo de sistemas de endpoint para a redeMembros da equipe de busca que buscam de forma proativa os adversários já em seus ambientes de rede, aproveitando novas inteligências contra evidências coletadas anteriormentePoliciais, agentes federais e detetives que desejam se tornar especialistas em assuntos forenses de redePessoal do Centro de Operações de Segurança (SOC) e profissionais de segurança da informação que apoiam as operações de busca, buscando identificar invasores em seus ambientes de redeDefensores de rede que estão assumindo cargas de trabalho adicionais de investigação e/ou resposta a incidentesGerentes de segurança da informação que precisam entender forense de rede para gerenciar riscos, transmitir implicações de segurança da informação e gerenciar equipes de investigaçãoEngenheiros de rede que estão orientando proativamente suas redes para melhor atender aos requisitos de investigaçãoProfissionais de tecnologia da informação que desejam aprender como as investigações de rede ocorremQualquer pessoa interessada em invasões e investigações de redes de computadores que tenha uma sólida formação em computação forense, sistemas de informação e segurança da informação

Extrair arquivos de capturas de pacotes de rede e arquivos de cache de proxy, permitindo análise de malware posterior ou determinações definitivas de perda de dadosUsar dados históricos do NetFlow para identificar ocorrências de rede anteriores relevantes, permitindo um escopo preciso de incidentesFazer engenharia reversa de protocolos de rede personalizados para identificar as habilidades e ações de comando e controle de um invasorDecifrar o tráfego SSL/TLS capturado para identificar as ações dos invasores e quais dados eles extraíram da vítimaUsar dados de protocolos de rede típicos para aumentar a fidelidade das descobertas da investigaçãoIdentificar oportunidades para coletar evidências adicionais com base nos sistemas e plataformas existentes em uma arquitetura de redeExaminar o tráfego usando protocolos de rede comuns para identificar padrões de atividade ou ações específicas que justifiquem uma investigação mais aprofundadaIncorporar dados de log em um processo analítico abrangente, preenchendo lacunas de conhecimento que podem estar no passadoSaiber como os invasores aproveitam as ferramentas intermediárias para interceptar comunicações aparentemente segurasExaminar os protocolos de rede proprietários para determinar quais ações ocorreram nos sistemas endpointAnalisar o tráfego de rede sem fio para encontrar evidências de atividade maliciosaSaber como modificar a configuração em dispositivos de rede típicos, como firewalls e sistemas de detecção de intrusão, para aumentar o valor de inteligência de seus logs e alertas durante uma investigaçãoAplicar o conhecimento adquirido durante a semana em um laboratório de conclusão de dia inteiro, modelado a partir de invasões de estados-nação do mundo real e agentes de ameaças