SEC450: Fundamentos do Blue Team: Análise e Operações de Segurança (36 CPEs)

Sua organização está procurando uma maneira rápida e eficaz de integrar novos analistas, engenheiros e arquitetos de segurança? Os gerentes do Security Operations Center (SOC) precisam de uma perspectiva técnica adicional sobre como melhorar a qualidade da análise, reduzir a rotatividade e executar um SOC eficiente?

O SEC450 é uma rampa de acesso acelerada para novos membros da equipe de defesa cibernética e gerentes de SOC. Este curso apresenta aos alunos as ferramentas comuns ao ambiente de trabalho de um defensor e inclui todas as explicações essenciais de ferramentas, processos e fluxo de dados que todo membro da equipe azul precisa conhecer. Os alunos aprenderão os estágios das operações de segurança: como os dados são coletados, onde são coletados e como as ameaças são identificadas nesses dados. A classe se aprofunda nas táticas de triagem e investigação de eventos identificados como maliciosos, bem como em como evitar erros comuns e realizar análises contínuas de alta qualidade. Os alunos aprenderão o funcionamento interno dos protocolos mais populares e como identificar arquivos armados, bem como ataques nos hosts e dados em sua rede. O curso emprega instruções práticas e práticas usando um ambiente SOC simulado com um conjunto de ferramentas real e totalmente integrado que inclui:

• Gerenciamento de Informações e Eventos de Segurança (SIEM)
• Um sistema de rastreamento e gerenciamento de incidentes
• Uma plataforma de inteligência de ameaças
• Captura de pacotes e análise
• Ferramentas de automação

Alguns dos destaques do que os alunos aprenderão incluem:

• Como SIEM, plataformas de inteligência de ameaças, sistemas de gerenciamento de incidentes e automação devem se conectar e trabalhar juntos para fornecer um fluxo de trabalho indolor para analistas
• Análise de tipos de alerta comuns, incluindo HTTP(S), DNS e ataques baseados em e-mail
• Identificação da atividade do invasor pós-exploração
• Modelos mentais para entender alertas e padrões de ataque que podem ajudar a priorizar alertas de forma eficaz
• Como realizar análise e investigação de alertas de alta qualidade e sem viés
• Como identificar os alertas de maior risco e formas rápidas de verificá-los
• Como os logs são coletados em todo o ambiente e a importância da análise, enriquecimento e capacidade de correlação do SIEM
• Como criar e ajustar a análise de detecção de ameaças para eliminar falsos positivos

Embora a defesa cibernética possa ser uma carreira desafiadora e envolvente, muitos SOCs são afetados negativamente pela rotatividade. Para lidar preventivamente com esse problema, este curso também apresenta informações apoiadas por pesquisas sobre como evitar o esgotamento e como manter o engajamento alto por meio de crescimento contínuo, automação e redução de falsos positivos. Os alunos terminarão o curso com uma visão completa de como a coleta e a detecção funcionam, como as ferramentas SOC são usadas e se encaixam e como manter seu SOC funcionando a longo prazo.

Treinamento prático

Acreditamos que o treinamento prático é um componente crucial do aprendizado em sala de aula, portanto, cada dia deste curso incluirá vários exercícios práticos. Para alcançar o cenário mais realista possível, a máquina virtual de classe é carregada com todas as ferramentas normalmente usadas em um SOC. Os alunos serão apresentados aos conceitos, interconexões e fluxo de trabalho associados a cada uma dessas ferramentas. Ao longo da aula, utilizaremos um SIEM, plataforma de inteligência de ameaças, sistema de gerenciamento de incidentes e tíquetes, ferramentas de automação e orquestração, captura completa de pacotes e software de análise, bem como várias linhas de comando, inteligência de código aberto e ferramentas de análise. Todas essas ferramentas foram configuradas e integradas para trabalhar umas com as outras a fim de recriar o ambiente de trabalho o mais próximo possível, permitindo que os alunos ganhem experiência que podem traduzir diretamente para sua própria configuração quando voltarem ao escritório.

Quem deve participar

• Analistas de segurança
• Investigadores de incidentes
• Engenheiros e arquitetos de segurança
• Gerentes técnicos de segurança
• Gerentes de SOC que desejam obter uma perspectiva técnica adicional sobre como melhorar a qualidade da análise, reduzir a rotatividade e executar um SOC eficiente
• Qualquer pessoa que queira iniciar sua carreira em a equipe azul

Requisitos do laptop

Importante! configure seu sistema de acordo com estas instruções!

NOTA CRÍTICA: Os sistemas Apple que utilizam a linha de processadores M1 não podem executar a funcionalidade de virtualização necessária e, portanto, não podem de forma alguma ser usados ??para este curso.

É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.

Sistema operacional do host: versão mais recente do Windows 10, macOS 10.15.x ou posterior ou Linux que também pode instalar e executar os produtos de virtualização VMware descritos abaixo. Você também deve ter 8 GB de RAM ou superior para que a VM funcione corretamente na classe.

É fundamental que sua CPU e sistema operacional suportem 64 bits para que nossa máquina virtual convidada de 64 bits seja executada em seu laptop.

Além de ter hardware compatível com 64 bits, AMD-V, Intel VT-x ou equivalente deve ser habilitado no BIOS/UEFI.

Baixe e instale VMware Workstation Pro 15.5.X+, VMware Player 15.5.X+ ou Fusion 11.5+ em seu sistema antes do início da aula. Se você não possui uma cópia licenciada do VMware Workstation ou Fusion, pode fazer download de uma cópia de avaliação gratuita de 30 dias da VMware. A VMware enviará a você um número de série por tempo limitado se você se registrar para a avaliação em seu site.

REQUISITOS OBRIGATÓRIOS DO SISTEMA SEC450:

CPU:

processador de 64 bits 2.0+ GHz ou sistema baseado em superior é obrigatório para esta classe (Importante – Leia: um processador de sistema de 64 bits é obrigatório)

BIOS/UEFI:

VT-x, AMD-V ou equivalente deve estar habilitado no BIOS/UEFI

RAM:

8 GB (gigabytes) de RAM ou superior é obrigatório para esta classe (Importante – Leia: 8 GB de RAM ou superior é obrigatório)

Disco:

25 gigabytes de espaço livre em disco

Conectividade:

Ethernet sem fio 802.11 B/G/N/AC

Portas USB-A ou um adaptador para usar um pen drive USB-A (recomenda-se a compatibilidade da versão 3.0)

Programas:

VMware Workstation, Workstation Player ou Fusion.

A máquina virtual Linux será fornecida em aula via pen drive USB.

Para mais detalhes sobre a infaestrutura necessária para participar do curso, clique aqui

Certificação GIAC de Operações de Segurança

A certificação GSOC valida a capacidade de um profissional de defender uma empresa usando ferramentas e técnicas essenciais de resposta a incidentes da equipe azul. Profissionais certificados pelo GSOC são bem versados no conhecimento técnico e nos principais conceitos necessários para executar um centro de operações de segurança (SOC).

• Monitoramento SOC e resposta a incidentes usando sistemas de gerenciamento de incidentes, plataformas de inteligência de ameaças e SIEMs
• Análise e defesa contra os ataques direcionados a empresas mais comuns
• Projetar, automatizar e enriquecer as operações de segurança para aumentar a eficiência

Para mais informações sobre a certificação GSOC, clique aqui

SEÇÃO 1: Ferramentas e Operações da Equipe Azul

Esta seção começa com uma introdução à equipe azul, a missão de um Centro de Operações de Segurança (SOC) e como entender o modelo de ameaças e o apetite ao risco de uma organização. Ele está focado no aprendizado de cima para baixo para explicar a mentalidade de um analista, o fluxo de trabalho e as ferramentas de monitoramento usadas na batalha contra invasores. Ao longo desta seção do curso, os alunos aprenderão como as ferramentas de gerenciamento de informações SOC se encaixam, incluindo sistemas de gerenciamento de incidentes, plataformas de inteligência de ameaças, SIEMs e ferramentas SOAR. Terminamos a seção descrevendo os vários grupos de invasores, como seus métodos diferem e suas motivações.

SEÇÃO 2: Entendendo sua rede

A seção 2 inicia a jornada técnica de compreensão do ambiente. Para defender uma rede, você deve entender completamente sua arquitetura e o impacto que ela terá na análise. Este dia apresenta os conceitos de fluxo de tráfego de rede de uma organização moderna, dissecando uma conexão básica de Internet doméstica e descrevendo os recursos necessários para segmentação e monitoramento. Esses módulos garantem que os alunos tenham uma compreensão firme de como o design de rede afeta sua “visão do mundo” como analista. Em seguida, aprofundamos os serviços de rede comuns. A Seção 2 fornece explicações completas sobre os recursos atuais e futuros de DNS, HTTP(S), SMTP e muito mais, com foco nos pontos mais importantes para os analistas entenderem. Essas seções explicam como são os dados normais, bem como os campos e áreas comuns que são usados ??para detectar comportamentos anômalos. O foco estará em reconhecer rapidamente os truques comuns usados ??pelos invasores para transformar esses serviços cotidianos contra nós.

SEÇÃO 3: Entendendo endpoints, logs e arquivos

É extremamente difícil ter sucesso na defesa cibernética sem saber onde e como seus dados são produzidos, então a seção 3 nos leva ao host, log e nível de arquivo. Começando com uma pesquisa de táticas comuns de ataque baseadas em endpoints, orientamos os alunos sobre a variedade de técnicas usadas contra seus hosts. Essas primeiras seções, seguidas por uma seção sobre defesa em profundidade, darão aos alunos uma ideia de como cada etapa do ciclo de vida do ataque se alinha com suas ferramentas defensivas e o que os alunos podem usar para prevenir e detectar o avanço do ataque adversário em seus endpoints. A seção do curso se volta para a análise e enriquecimento de logs, bem como para o funcionamento dos processos de normalização e categorização do SIEM. Esses tópicos fornecem uma visão completa do que acontece desde o momento em que um log é gerado até quando ele aparece em nossas ferramentas de segurança. A parte final da seção 3 fornece aos alunos os conceitos necessários para raciocinar sobre a resposta, mergulhando em arquivos no nível de byte. Os alunos terminarão esta seção entendendo como funcionam os diferentes formatos de arquivo comuns, como eles normalmente são armados e como decidir rapidamente se uma determinada amostra provavelmente é maliciosa.

SEÇÃO 4: Triagem e Análise

Agora que o curso cobriu o terreno necessário para entender as ferramentas e os dados mais frequentemente encontrados pelos analistas, é hora de focar na análise em si. Esta seção se concentrará em como o processo de análise funciona e explicará como evitar os erros comuns que novos analistas podem cometer. Podemos combater a tendência de ignorar o óbvio examinando como nossa percepção de memória afeta a análise e como os vieses cognitivos nos fazem deixar de ver o que está bem à nossa frente. O objetivo é ensinar os alunos não apenas a pensar com clareza, mas também a explicar e deixar um rastro de como chegaram às suas conclusões que podem subsidiar análises futuras e atuar como uma trilha de auditoria. Além disso, abordaremos muitos dos modelos mentais e conceitos usados ??na segurança da informação, tanto da perspectiva ofensiva quanto defensiva. Os alunos usarão esses modelos para examinar uma fila de alertas e obter uma compreensão rápida e intuitiva de quais alertas podem representar a maior ameaça e, portanto, devem ser atendidos primeiro. Técnicas de análise seguras e preocupações de segurança operacional são cobertas para garantir que não abrimos mão de nossa vantagem tática durante o processo de investigação. Discutiremos detalhes sobre métodos e priorização de triagem de alertas, bem como técnicas de investigação, para que os alunos saiam desta seção mais bem preparados para entender suas filas de alertas e realizar investigações sem erros.

SEÇÃO 5: Melhoria Contínua, Análise e Automação

Esta seção se concentra diretamente em melhorar a eficiência e o entusiasmo de trabalhar em SOCs, enfrentando os problemas mais comuns de frente. Por meio da otimização de processos, design e ajuste analíticos cuidadosos e melhorias na eficiência do fluxo de trabalho, podemos eliminar muitos desses pontos problemáticos comuns. Isso nos liberta do trabalho repetitivo que detestamos e nos permite focar no que fazemos melhor – análise! Ter tempo para um trabalho desafiador e inovador leva a um ciclo virtuoso de crescimento e engajamento em todo o SOC – enquanto melhora a vida de todos no processo. Esta seção se concentrará em ajustar suas ferramentas usando técnicas de análise inteligentes e automação de processos para remover do seu dia as atividades monótonas e sem valor agregado. Também abordamos as atividades de contenção, incluindo as ferramentas que você pode usar e como decidir como interromper um incidente ou infecção em desenvolvimento do ponto de vista do host ou da rede. Vamos encerrar a seção com recomendações sobre o crescimento de habilidades, desenvolvimento de carreira a longo prazo e como se envolver mais na comunidade de defesa cibernética.

SEÇÃO 6: Capstone: Defend the Flag

O percurso culmina em uma competição de design, detecção e defesa da bandeira baseada em equipe. Desenvolvido por NetWars, a seção seis oferece um dia inteiro de trabalho prático aplicando os princípios ensinados ao longo da semana. Sua equipe será desafiada a progredir em vários níveis e missões projetadas para garantir o domínio dos conceitos e dados abordados durante o curso.

Entendimento básico de TCP/IP e fundamentos gerais do sistema operacional é necessário para este curso. Estar acostumado com a linha de comando do Linux, monitoramento de segurança de rede e soluções SIEM é um bônus. Alguns conceitos básicos de segurança de nível básico são assumidos.

O aluno será capaz de:

• Assumir uma função de centro de operações de segurança ou defesa cibernética com confiança
• Realizar triagem e investigação de alertas de alta qualidade, livre de preconceitos e erros comuns
• Compreender os protocolos mais importantes como DNS, HTTP(S), SMTP, ICMP, SMB, SSH e mais
• Use esses protocolos para identificar tráfego mal-intencionado e anômalo em sua rede, empregando heurística e análise de conteúdo de tráfego
• Entenda como os logs são coletados, analisados, enriquecidos e interpretados usando um sistema SIEM
• Contenha invasões em tanto a curto quanto a longo prazo, escolhendo as melhores ferramentas para o trabalho
• Use todas as ferramentas comuns às operações de segurança – SIEMs, plataformas de inteligência de ameaças, sistemas de gerenciamento de incidentes e automação
• Inspecione e identifique arquivos maliciosos de maneira segura
• Utilize monitoramento de rede e registro de eventos táticos para detectar ataques antes que eles se tornem um problema
• Compreenda os modelos mentais para ataque e defesa para avaliar rapidamente qualquer situação
• Compreenda o te tecnologia, funções e processos necessários para operações de segurança eficientes
• Entenda o que é necessário para defender uma rede moderna