Tratamento de Incidentes de Segurança (EaD)

O curso apresenta os conceitos e descreve as fases de tratamento de incidentes de segurança, com exercícios práticos e simulações de casos. Ao final do curso o aluno sai preparado para iniciar a criação de um grupo de atendimento a incidentes de segurança (Computer Security Incident Response Team CSIRT).

DURAÇÃO:

• 5 (cinco) semanas de duração e mais uma semana de encerramento (total de 06 semanas);
• 2 (dois) encontros online por semana com o tutor (total de 10 encontros). Os encontros serão ao vivo e terão 2 (duas) horas de duração;

SISTEMA DE AVALIAÇÃO:

Para conclusão do curso e acesso ao certificado é necessário:

• Entregar no mínimo 50% das tarefas;
• Ter 50% de presença no total de encontros online;
• Obter média 6,0 (seis) no Questionário de Avaliação Final.

MATERIAL:

O material de apoio será disponibilizado no Ambiente Virtual de Aprendizagem (AVA): conteúdo do curso, agenda do curso, tarefas, questionários, materiais extras e vídeo do encontro online.

TÉCNICA:

• Para acompanhamento do curso o aluno precisará de um computador com navegador web e o Oracle Virtual Box instalado, com memória a partir de 4GB, com acesso direto a Internet e 20GB de espaço em disco.
• Sugerimos que o aluno acesse por um computador utilizando, de preferência, o navegador Firefox ou Chrome;
• Para os encontros online recomendamos o uso de fones de ouvido com microfone.

• Conceito de Resposta a Incidente
• CSIRT
• Metodologias de resposta a incidente
• Conceito de indicadores de ataque
• Conceito de indicadores de comprometimento em sistemas Windows
• Ações preliminares para identificação de um incidente de segurança
• Ações efetivas em um sistema Windows para identificar indicadores de comprometimento
• Identificação de processos suspeitos
• Identificação de informações comunicação de redes suspeitas
• Avaliação de chaves de registro
• Extração de informação de logs
• Identificação de Malware
• Ações preliminares para identificação de um incidente de segurança em sistema Linux
• Ações efetivas em um sistema Linux para identificar indicadores de comprometimento
• Identificação de processos suspeitos
• Identificação de informações comunicação de redes suspeitas
• Uso de Covers Channel (canal dissimulado)
• Avaliação de chaves de registro
• Extração de informação de logs
• Identificação de Malware
• Intervenção automatizada em um sistema Windows
• Uso de Powershell
• Identificação de indicadores de comprometimento
• Áreas que devem ser investigadas
• Chaves de registros
• Falsos Serviços 
• Tarefas agendadas
• Autorun
• Coleta automatizada de evidências para equipe forense.
• Intervenção automatizada em um sistema Linux
• Uso de Shell Scripts
• Identificação de indicadores de comprometimento
• Ferramentas para identificação de anomalias e malware
• Áreas que devem ser investigadas
• Chaves de registros
• Falsos Serviços 
• Tarefas agendadas
• Coleta automatizada de evidências para equipe forense.
• Análise preliminar de arquivos Prefetch
• Geração de relatório de arquivos Prefetch
• Geração de dump de memória para análise futura da equipe forense
• Análise preliminar de arquivos /proc
• Recuperação de artefatos deletados via /proc
• Geração de dump de memória para análise futura da equipe forense
• Coleta e análise pontual de logs
• Principais logs de um sistema windows
• Análise de log de um servidor web IIS
• Principais logs de um sistema Linux
• Análise de log de um servidor web Apache
• Análise automatizada de logs
• Conceitos de interceptação de comunicação de rede
• Uso de ferramentas command line para manipular arquivos PCAP
• Uso de ferramenta gráfica para manipular arquivos PCAP
• Coleta de tráfego de rede para forense de rede futura
• Coleta de evidência de NIDS/NIPS
• Tratamento de incidente em rede WAN
• Uso do protocolo Netflow
• Interpretação de dados de um incidente
• Qualificação de um incidente
• Consolidação de informação de um incidente
• Geração de relatório

• Recomenda-se a realização do curso: Segurança de Redes e Sistemas, oferecido pela Escola Superior de Redes.
• Conceitos e ações básicas na área de segurança física e lógica de redes e sistemas, como: criptografia, assinatura, certificado digital e questões de segurança da informação.