MGT551: Construindo e Liderando Centros de Operações de Segurança (30 CPEs)

Gerenciar um centro de operações de segurança (SOC) requer uma combinação única de conhecimento técnico, habilidades de gerenciamento e capacidade de liderança. Esteja você procurando construir um novo SOC ou levar sua equipe atual para o próximo nível, o MGT551 fornece o equilíbrio certo desses elementos para sobrecarregar seu pessoal, ferramentas e processos. Na nova versão de 5 dias do MGT551, ajudaremos você a criar um SOC de alto desempenho adaptado à sua organização e às ameaças que ela enfrenta. Forneceremos as ferramentas necessárias para gerenciar uma defesa eficaz, medir o progresso em direção aos seus objetivos e criar processos mais avançados, como caça a ameaças, defesa ativa e avaliação contínua de SOC. O melhor de tudo é que cada seção está repleta de laboratórios práticos, introduções a algumas das melhores ferramentas gratuitas e de código aberto do setor e um jogo interativo no qual você aplicará suas novas habilidades de gerenciamento de SOC em cenários do mundo real.

O que você vai aprender

Da porta frontal física ao backdoor da rede

A tecnologia da informação está tão intimamente ligada à estrutura dos negócios modernos que o risco cibernético se tornou um risco comercial. As equipes de SOC estão enfrentando mais pressão do que nunca para ajudar a gerenciar esse risco, identificando e respondendo a ameaças em um conjunto diversificado de infraestruturas, processos de negócios e usuários. Além disso, os gerentes do SOC estão na posição única de ter que preencher a lacuna entre os processos de negócios e o trabalho altamente técnico que ocorre no SOC. Os gerentes devem mostrar alinhamento com o negócio e demonstrar valor real – um desafio quando as ameaças mudam constantemente e às vezes são invisíveis. Como sabemos que nossas equipes de segurança estão alinhadas às ameaças exclusivas que nossa organização enfrenta? Como obtemos resultados consistentes e provamos que podemos identificar e responder a ameaças a tempo de minimizar o impacto nos negócios? E como podemos construir um ambiente de aprendizado capacitador, onde os analistas possam ser criativos e resolver problemas enquanto se concentram na missão em questão?

O MGT551 preenche essa lacuna fornecendo aos alunos os meios técnicos para construir uma defesa eficaz e as ferramentas de gerenciamento para construir uma equipe eficaz. Na seção um deste treinamento, os alunos aprenderão como projetar suas defesas em torno de seus requisitos organizacionais exclusivos e perfil de risco. Eles aprenderão como combinar a equipe, os processos e a tecnologia do SOC de forma a promover resultados mensuráveis ??e abranger todos os tipos de infraestrutura e processos de negócios. Mais importante, eles aprenderão como manter o SOC crescendo, evoluindo e melhorando ao longo do tempo.

Ao longo deste curso, os alunos podem esperar aprender os principais fatores para o sucesso no gerenciamento de um Centro de Operações de Segurança (SOC), incluindo:

• Coletando os logs e dados de rede mais importantes
• Construir, treinar e capacitar uma equipe diversificada
• Criação de playbooks e gerenciamento de casos de uso de detecção
• Usando inteligência de ameaças para focar seu orçamento e esforços de detecção
• Caça a ameaças e estratégias de defesa ativa
• Triagem de alerta eficiente e fluxo de trabalho de investigação
• Planejamento e execução de resposta a incidentes
• Escolhendo métricas e estratégia de longo prazo para melhorar o SOC
• Treinamento de membros da equipe, retenção e prevenção de burnout
• Avaliação SOC por meio de planejamento de capacidade, teste de equipe roxa e emulação de adversários

INFORMAÇÕES DO LABORATÓRIO

Embora este curso seja focado em gestão e liderança, não é de forma alguma limitado a processos não técnicos e teoria. Ao longo dos cinco dias de instrução, os alunos trabalharão em quinze exercícios práticos que abrangem tudo, desde a implementação do manual até a criação de banco de dados de casos de uso, priorização e visualização de capacidade de ataque e detecção e planejamento de equipe roxa, caça a ameaças e relatórios. Além disso, os alunos terão a oportunidade de participar de uma nova iteração da Cyber42 Cybersecurity Leadership Simulation criada especificamente para o MGT551! Os participantes sairão com uma estrutura para entender onde seu SOC deve concentrar seus esforços, como rastrear e organizar recursos defensivos e como conduzir, verificar e comunicar melhorias no SOC.

O QUE VOCÊ VAI RECEBER

• Distribuição personalizada da máquina virtual Linux contendo ferramentas SOC de código aberto gratuitas
• Arquivos de áudio MP3 da palestra completa do curso
• Material didático impresso e eletrônico
• Um pacote de download digital que inclui o acima e mais

Requisitos do laptop

Importante! Configure o seu computador de acordo com estas instruções!

É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.

Seu sistema operacional host deve ser a versão mais recente do Windows 10, macOS 10.15.x ou posterior, ou Linux que também pode instalar e executar os produtos de virtualização VMware descritos abaixo. Você também deve ter 8 GB de RAM ou superior para que a VM funcione corretamente na classe.

Para informações mais detalhadas sobre os requisitos e hardware e software, clique aqui

GIAC Security Operations Manager

A certificação GSOM valida a capacidade de um profissional de administrar um centro de operações de segurança eficaz. Profissionais certificados pela GSOM são bem versados nas habilidades de gerenciamento e estruturas de processos necessárias para operar e melhorar estrategicamente um SOC e sua equipe.

• Projetar, planejar e gerenciar um programa SOC eficaz
• Priorização e coleta de logs, desenvolvimento de casos de uso de alerta e geração de playbook de resposta
• Seleção de métricas, análises e estratégia de longo prazo para avaliar e melhorar continuamente as operações de SOC

Para saber mais sobre a certificação GIAC Security Operations Manager, clique aqui

MGT551.1: Projeto SOC e Planejamento Operacional

• O MGT551 começa com os elementos críticos necessários para construir seu Centro de Operações de Segurança: entender seus inimigos, planejar seus requisitos, criar um espaço físico, construir sua equipe e implantar um conjunto de ferramentas principal. Ao longo desta seção do curso, os alunos aprenderão como construir uma base sólida sobre a qual um SOC pode operar, concentrando-se primeiro nos usuários e dados mais importantes e adaptando os planos de defesa às ameaças com maior probabilidade de afetar sua organização. Por meio da otimização do fluxo de trabalho, organização de informações e coleta de dados, você aprenderá como garantir que suas operações de segurança sejam executadas da maneira mais eficiente possível, protegendo usuários e dados SOC privilegiados. Os exercícios mostram como implementar esses conceitos por meio de perfis de ativos e grupos de ameaças, mapeando caminhos de ataque prováveis ??em seu ambiente e implementando manuais repetíveis de casos de uso para identificar as ameaças e os vetores de ataque que você identificou.

MGT551.2: Telemetria e Análise SOC

• A seção 2 do MGT551 se concentra em expandir nossa compreensão das táticas, técnicas e procedimentos do invasor e como podemos identificá-los em nosso ambiente. Discutiremos teoria defensiva e modelos mentais que podem orientar nossos esforços de avaliação e planejamento, coleta de dados e prioridades de monitoramento e coleta de inteligência de ameaças cibernéticas. Também abordaremos casos de uso de monitoramento de segurança mais especializados, como DevOps, cadeia de suprimentos, ameaças internas e comprometimento de e-mail comercial. Os exercícios incluem o uso da estrutura MITRE ATT&CK para planejar a coleta de dados de segurança e escrever requisitos sólidos de inteligência de ameaças para informações relevantes e oportunas que respondam às suas perguntas defensivas mais urgentes.

MGT551.3: Detecção de Ataque, Caça e Triagem

• A seção 3 do MGT551 trata de melhorar as detecções. Começamos com triagem e análise eficazes e, em seguida, passamos para mecanismos de alerta mais eficazes, começando com os fundamentos do design analítico. Discutiremos a engenharia de detecção como uma disciplina central do SOC a ser planejada, rastreada e medida. Você aprenderá uma abordagem repetível e orientada por dados para o planejamento de capacidade SOC e aplicará esse processo em um exercício prático usando ferramentas personalizadas que você pode levar de volta ao seu próprio ambiente. Também abordaremos os diferentes tipos de busca proativa de ameaças, veremos uma abordagem estruturada que resulta em melhorias mensuráveis ??em sua capacidade de detecção e aplicaremos essa abordagem em um laboratório prático de busca de ameaças. Por fim, examinaremos os conceitos de defesa ativa e seu papel em uma capacidade de operações de segurança madura. Levar as ferramentas, processos e conceitos da seção 3 do MGT551 de volta ao seu SOC garantirá que nenhuma pedra (virtual) em seu ambiente permaneça intacta.

MGT551.4: Resposta a Incidentes

• De conjuntos de ferramentas a estruturas comprovadas e dicas e truques aprendidos em inúmeros cenários do mundo real, a seção quatro abrange todo o ciclo de resposta, da preparação à identificação, contenção, erradicação e recuperação, para gerentes de operações. A quarta seção do MGT551 começa com os fundamentos da investigação: triagem eficaz, mentalidade investigativa e ferramentas para evitar preconceitos. Em seguida, o foco se volta para preparar seu ambiente para ser defendido, implantando controles de segurança, identificando ativos e usuários de alto valor e projetando manuais para orientar seus esforços de resposta. Por fim, revisaremos as melhores ferramentas de resposta a incidentes e estruturas gratuitas para orientar seu planejamento. Os exercícios de laboratório na seção quatro incluem o design do manual de resposta a incidentes usando a estrutura gratuita de RE&CT, revisão de investigação e controle de qualidade e desenvolvimento de exercícios de mesa.

MGT551.5: Métricas, Automação e Melhoria Contínua

• A quinta e última seção do MGT551 trata de medir e melhorar as operações de segurança. Nós nos concentramos em três áreas: desenvolver e melhorar pessoas, medir o desempenho do SOC e validação contínua por meio de avaliação e emulação de adversários. Também abordaremos alguns dos elementos mais desafiadores do gerenciamento de pessoas em um ambiente dinâmico e muitas vezes de alta pressão: construir a cultura certa, abordar comportamentos prejudiciais e lidar com armadilhas comuns das operações diárias. Ao demonstrar valor por meio de testes estruturados e promover uma cultura de aprendizado, colaboração e melhoria contínua, podemos garantir crescimento e sucesso a longo prazo. Na seção cinco, você receberá as ferramentas, técnicas e insights para fazer exatamente isso. Os exercícios práticos incluirão autoavaliações de habilidades e planos de treinamento para seus analistas, criação de métricas de SOC e avaliação e validação contínuas.

Este curso não possui pré-requisitos específicos, mas sugere-se que os alunos tenham alguma experiência em uma função de segurança operacional. Cursos SANS como SEC450: Blue Team Fundamentals: Security Operations and Analysis ou MGT512: Security Leadership Essentials for Managers darão aos alunos uma sólida compreensão básica dos conceitos que serão discutidos.

• Coletar logs e dados de rede mais importantes
• Criar manuais e casos de uso
• Usar a inteligência de ameaças para focar seu orçamento e esforços de detecção
• Implementar estratégias de caça a ameaças e defesa ativa
• Desenvolver um fluxo de trabalho de investigação e triagem de alerta eficiente
• Criar processos eficazes de resposta a incidentes
• Implementar métricas e metas para melhorar o SOC
• Conduzir a contratação, treinamento e retenção e evitar o esgotamento
• Avaliar seu SOC por meio de testes de equipe roxa e emulação do adversário