
SEC555: SIEM com Análise Tática (46 CPEs)
R$110.000,00
Carga horária:
36 horas
Nível do curso:
Avançado
Voucher para prova incluso ?
Muitas organizações têm recursos de registro, mas não têm pessoas e processos para analisá-lo. Além disso, os sistemas de registro coletam grandes quantidades de dados de uma variedade de fontes de dados que exigem uma compreensão das fontes para uma análise adequada. Esta classe foi projetada para fornecer treinamento, métodos e processos individuais para aprimorar […]
Proposta
Se você precisa de uma proposta personalizada para se capacitar e/ou capacitar sua equipe, preencha o formulário e fale com nossos consultores.
Muitas organizações têm recursos de registro, mas não têm pessoas e processos para analisá-lo. Além disso, os sistemas de registro coletam grandes quantidades de dados de uma variedade de fontes de dados que exigem uma compreensão das fontes para uma análise adequada. Esta classe foi projetada para fornecer treinamento, métodos e processos individuais para aprimorar as soluções de registro existentes. Esta aula também fornecerá a compreensão do quando, o quê e por que por trás dos logs. Este é um curso intensivo de laboratório que utiliza SOF-ELK, uma solução SIEM gratuita patrocinada pela SANS, para treinar a experiência prática e fornecer a mentalidade para análise de dados em grande escala.Hoje, as operações de segurança não sofrem de um problema de “Big Data”, mas sim de um problema de “Análise de Dados”. Vamos ser sinceros, existem várias maneiras de armazenar e processar grandes quantidades de dados sem nenhuma ênfase real em obter insights sobre as informações coletadas. Adicionado a isso está a ideia assustadora de uma lista infinita de sistemas dos quais se pode coletar logs. É fácil se perder nos perigos da saturação de dados. Essa classe é a mudança dos sistemas típicos de registro de rotatividade e queima para obter inteligência acionável e desenvolver um Centro de Operações de Segurança (SOC) tático.Este curso foi desenvolvido para desmistificar a arquitetura e o processo do Security Information and Event Management (SIEM), orientando o aluno pelas etapas de adaptação e implantação de um SIEM para integração total do Security Operations Center (SOC). O material cobrirá muitas bases no uso “apropriado” de uma plataforma SIEM para enriquecer dados de log prontamente disponíveis em ambientes corporativos e extrair inteligência acionável. Uma vez coletado, o aluno será mostrado como apresentar a entrada coletada em formatos utilizáveis ??para auxiliar na eventual correlação. Os alunos irão então percorrer os dados de log e eventos para analisar os principais componentes que lhes permitirão aprender o quão ricas são essas informações, como correlacionar os dados, começar a investigar com base nos dados agregados e, finalmente, como caçar com esse novo conhecimento adquirido. Eles também aprenderão como implantar armadilhas internas de pós-exploração e canários de violação para detectar com agilidade intrusões sofisticadas. Ao longo do curso, o texto e os laboratórios mostrarão não apenas como realizar essas ações manualmente, mas como automatizar muitos dos processos mencionados para que os alunos possam empregar essas tarefas no dia em que retornarem ao escritório.O tema subjacente é aplicar ativamente técnicas de monitoramento e análise contínuas, utilizando ataques modernos de ameaças cibernéticas. Os laboratórios envolverão a reprodução de dados de ataque capturados para fornecer resultados e visualizações do mundo real.Quem deve participar Analistas de segurançaArquitetos de segurançaEngenheiros de segurança sêniorGerentes técnicos de segurançaAnalistas, engenheiros e gerentes do Centro de Operações de SegurançaAnalistas de CNDEspecialistas em monitoramento de segurançaAdministradores de sistemaInvestigadores de ameaças cibernéticasIndivíduos trabalhando para implementar o Monitoramento Contínuo de SegurançaIndivíduos que trabalham em uma capacidade de equipe de caça
Requisitos do computadorImportante! Configure seu equipamento de acordo com as instruções do SANS!É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.NOTA CRÍTICA: Os sistemas Apple que utilizam a linha de processadores M1 não podem executar a funcionalidade de virtualização necessária e, portanto, não podem de forma alguma ser usados ??para este curso.Você pode usar a versão mais recente do Windows 10, macOS 10.15.x ou posterior ou Linux que também pode instalar e executar os produtos de virtualização VMware descritos abaixo. Você também deve ter 8 GB de RAM ou superior para que a VM funcione corretamente na classe.É fundamental que sua CPU e sistema operacional suportem 64 bits para que nossa máquina virtual convidada de 64 bits seja executada em seu computador.Para mais detalhes sobre as especificações de hardware e software, clique aqui.Certificação GIAC Certified Detection AnalystA Certificação GCDA – GIAC Certified Detection Analyst prova que um indivíduo sabe como coletar, analisar e usar taticamente fontes modernas de dados de rede e endpoint para detectar atividades maliciosas ou não autorizadas.Arquitetura SIEM e SOF-ELKPerfil de serviço, análise avançada de endpoint, linha de base e monitoramento do comportamento do usuárioDetecção Tática de SIEM e Análise Post-MortemPara mais informações sobre a certificação GCDA – GIAC Certified Detection Analyst, clique aqui.
SEC555.1: Arquitetura SIEMO registro e a análise são componentes críticos na defesa da rede cibernética e permitem a detecção reativa e proativa de atividades adversárias. Quando utilizado adequadamente, torna-se a espinha dorsal para detecção ágil, bem como fornece compreensão para o ambiente geral. Os produtos e técnicas de registro e análise existem há muitos anos e estão ganhando cada vez mais funcionalidades rapidamente. Esta seção apresentará ferramentas gratuitas de registro e análise e se concentrará em técnicas para entender e aumentar os registros tradicionais. Ele também aborda como lidar com o problema de big data de lidar com bilhões de logs e como os avanços nas ferramentas gratuitas estão começando a dar às soluções comerciais uma corrida pelo seu dinheiro.O primeiro dia foi projetado para que todos os alunos se familiarizem com os conceitos do SIEM e levem todos os alunos a um nível básico para levá-los ao resto da aula. Ele foi projetado para abranger também as melhores práticas de SIEM. Durante o primeiro dia, apresentaremos o Elasticsearch, o Logstash e o Kibana no SOF-ELK (uma VM co-mantida por Phil Hagen e Justin Henderson) e imediatamente entraremos nos laboratórios para deixar os alunos à vontade para ingerir, manipular e relatar dados de log.SEC555.2: Perfil de Serviço com SIEMA grande maioria da comunicação de rede ocorre por meio de protocolos de rede importantes e, no entanto, é incomum que as organizações usem ou coletem esses dados. O volume absoluto pode ser esmagador. No entanto, essas fontes de dados comuns oferecem uma oportunidade para identificar ataques modernos.Esta seção aborda como coletar e lidar com essa enorme quantidade de dados. Os métodos para coletar esses logs por meio de logs de serviço, como de servidores DNS, serão abordados, bem como formas passivas de extrair os mesmos dados da própria rede. Técnicas serão demonstradas para aumentar e adicionar um contexto valioso aos dados à medida que são coletados.Finalmente, os princípios analíticos serão abordados para encontrar as agulhas na pilha de agulhas. Abordaremos como, mesmo que tenhamos o problema de pesquisar bilhões de logs, podemos encontrar apenas itens significativos de interesse. Painéis ativos serão projetados para localizar rapidamente os logs de interesse e fornecer aos analistas contexto adicional sobre o que fazer em seguida.SEC555.3: Análise de endpoint avançadaO valor nos logs de endpoint oferece uma visibilidade tremenda na detecção de ataques. Especialmente, no que diz respeito à localização de atividades pós-comprometimento, os logs de endpoint podem rapidamente se tornar incomparáveis. No entanto, os logs, mesmo em um único desktop, podem atingir dezenas, senão centenas, de milhares de eventos por dia. Multiplique isso pelo número de sistemas em seu ambiente e não é surpresa que as organizações fiquem sobrecarregadas.Esta seção abordará o como e, mais importante, o porquê por trás da coleta de logs do sistema. Várias estratégias e ferramentas de coleta serão usadas para ganhar experiência prática e simplificar o manuseio e a filtragem da quantidade aparentemente infinita de dados gerados por servidores e estações de trabalho.As estratégias de log das estações de trabalho serão abordadas em profundidade devido ao seu valor nos vetores de ataque modernos de hoje. Afinal, os ataques modernos geralmente começam e se espalham a partir de estações de trabalho.SEC555.4: Linha de base e monitoramento do comportamento do usuárioConhece-te a ti mesmo é frequentemente citado pelos defensores como uma estratégia chave de defesa. E, no entanto, esta é uma das coisas mais difíceis de realizar. Pegue algo como ter uma lista de todos os ativos em uma organização e saber se algum ativo não pertencente à empresa está na rede. A tarefa parece simples, mas acaba sendo incrivelmente difícil de manter nas redes em constante evolução de hoje.Esta seção se concentra na aplicação de técnicas para manter automaticamente uma lista de ativos e suas configurações, bem como métodos para distinguir se são autorizados versus não autorizados. Os principais locais para fornecer dados de alta fidelidade serão abordados e as técnicas para correlacionar e combinar várias fontes de dados serão demonstradas para criar uma lista de inventário mestre.Outras formas de conhecer a si mesmo serão introduzidas, como ganhar experiência prática na aplicação de técnicas de rede e de linha de base do sistema. Monitoraremos os fluxos de rede e identificaremos atividades anormais, como sinalização C2, além de procurar atividades incomuns do usuário.Por fim, aplicaremos técnicas de análise de grandes dados para filtrar grandes quantidades de dados de endpoint. Isso será usado para encontrar coisas como mecanismos de persistência indesejados, dispositivos de hospedagem dupla e muito mais.SEC555.5: Detecção Tática de SIEM e Análise Post-MortemExistem vários dispositivos de segurança, mas geralmente são projetados para serem independentes. Os analistas geralmente são divididos em áreas de especialidade e se concentram em suas respectivas áreas, como um sistema de detecção de intrusão de rede. No entanto, os alertas de um único dispositivo de segurança não têm contexto e são semelhantes à analogia comum de “olhar para cima do fundo de um poço”.Esta seção se concentra na combinação de vários logs de segurança para análise central. Mais importante, abordaremos métodos para combinar várias fontes para fornecer um contexto aprimorado aos analistas. Também mostraremos como fornecer contexto com dados de ativos pode ajudar a priorizar o tempo do analista, economizando dinheiro e abordando os riscos que importam.Depois de abordar as formas de otimizar os alertas de segurança tradicionais, passaremos para novos métodos para utilizar a tecnologia de registro para implementar fios de viagem virtuais. Embora seja ideal impedir que invasores obtenham acesso à sua rede, é certo que em algum momento você será comprometido. No entanto, o compromisso é apenas o começo e não o objetivo final. Os adversários rastrearão seus sistemas e rede para atingir seus próprios objetivos. Sabendo disso, implementaremos tripwires baseados em registro que, caso um único seja “pisado”, podemos detectar e responder rapidamente ao adversário.SEC555.6: Capstone: Projetar, Detectar, DefenderO curso culmina em um projeto baseado em equipe, detectar e defender a competição da bandeira. Desenvolvido por NetWars, o sexto dia oferece um dia inteiro de trabalho prático aplicando os princípios ensinados ao longo da semana.Sua equipe progredirá em vários níveis e missões projetadas para garantir o domínio das modernas técnicas de defesa cibernética promovidas durante toda a semana. Desde a construção de uma arquitetura de log, aumentando logs, analisando logs de rede, analisando logs do sistema e desenvolvendo painéis para encontrar ataques, este exercício desafiador reforçará os princípios-chave em um desafio divertido, prático e baseado em equipe.
Uma compreensão básica de TCP/IP, métodos e técnicas de registro e fundamentos gerais do sistema operacional. A familiarização moderada com sistemas de registro (rede e host), filas de mensagens, estar acostumado à atividade de linha de comando e soluções SIEM comerciais/de código aberto é um bônus.
Implantar a VM SANS SOF-ELK em ambientes de produçãoDemonstrar como a maioria dos SIEMs geralmente atrasa as soluções atuais de código aberto (por exemplo, SOF-ELK)Atualizar os alunos sobre o uso, a arquitetura e as práticas recomendadas do SIEMSaber de que tipo de fontes de dados coletar logsImplantar uma solução de logs escalonável com várias maneiras de recuperar logsOperacionalizar logs comuns em dados táticosDesenvolver métodos para lidar com bilhões de logs de várias fontes de dados diferentesCompreender os métodos de práticas recomendadas para coletar registrosMergulhar nas técnicas de manipulação de logs que desafiam muitas soluções SIEMConstruir gráficos e tabelas que podem ser usados ??para detectar atividades e anormalidades adversáriasCombinar dados em painéis ativos que tornam a análise do analista mais táticaUtilizar técnicas adversárias contra eles usando análise de frequência em grandes conjuntos de dadosDesenvolver linhas de base de atividade de rede com base em usuários e dispositivosDesenvolver linhas de base de sistemas Windows com a capacidade de detectar alterações a partir da linha de baseAplicar várias formas de análise, como análise de cauda longa, para encontrar anormalidadesCorrelacionar e combinar várias fontes de dados para obter uma compreensão mais completaFornecer contexto para alertas padrão para ajudar a entendê-los e priorizá-losUsar dados de log para estabelecer a eficácia do controle de segurançaImplementar alertas de log que criam fios virtuais para detecção precoce de violaçõesEntender como lidar com o monitoramento de contêineres e a coleta de logsFazer a linha de base e encontre alterações não autorizadas em ambientes de nuvemIntegrar e escrever scripts personalizados em um SIEM