Kontakt aufnehmen

Schulungsübersicht

Einführung und Kursorientierung

  • Kursziele, erwartete Ergebnisse und Einrichten der Lab-Umgebung
  • Architektur von EDR-Lösungen auf hoher Ebene sowie die Komponenten von OpenEDR
  • Überblick über das MITRE ATT&CK-Framework und Grundlagen des Threat Hunting

Installation von OpenEDR & Erfassung von Telemetriedaten

  • Installation und Konfiguration der OpenEDR-Agents auf Windows-Endpunkten
  • Serverkomponenten, Daten-Ingestion-Pipelines und Speicherüberlegungen
  • Konfiguration von Telemetriequellen, Ereignisnormalisierung und Anreicherung

Verständnis der Endpunkt-Telemetrie & Ereignismodellierung

  • Wichtige Typen von Endpunkt-Ereignissen, Felder und deren Zuordnung zu ATT&CK-Techniken
  • Ereignisfilterung, Korrelationsstrategien und Techniken zur Reduzierung von Störsignalen
  • Erstellung zuverlässiger Detektionssignale aus Telemetriedaten mit geringer Aussagekraft

Zuordnung von Detektionen zu MITRE ATT&CK

  • Übersetzung der Telemetrie in eine Abdeckung durch ATT&CK-Techniken und Identifizierung von Detektionslücken
  • Nutzung von ATT&CK Navigator sowie Dokumentation der Zuordnungsentscheidungen
  • Priorisierung von Techniken für das Threat Hunting basierend auf Risiko und Verfügbarkeit der Telemetrie

Methodologien des Threat Hunting

  • Hypothesengetriebenes Hunting versus indikatorsbasierte Untersuchungen
  • Entwicklung von Hunt-Playbooks und iterativen Discoverys-Workflows
  • Praxislabs zum Threat Hunting: Identifizierung von lateraler Bewegung, Persistenz und Privilegienerhöhungs-Mustern

Detection Engineering & Optimierung

  • Entwurf von Detektionsregeln unter Verwendung von Ereigniskorrelation und Verhaltens-Baselines
  • Testen der Regeln, Feinabstimmung zur Reduzierung von False Positives und Messen der Effektivität
  • Erstellung von Signaturen und analytischem Content für die Wiederverwendung in der gesamten Umgebung

Incident Response & Ursachenanalyse mit OpenEDR

  • Nutzung von OpenEDR zur Triage von Warnmeldungen, Untersuchung von Vorfällen und Erstellung von Angriffstimelines
  • Sammeln forensischer Artefakte, Sicherung der Beweise und Beachtung der Chain-of-Custody-Anforderungen
  • Integration der Ergebnisse in IR-Playbooks und Remediation-Workflows

Automatisierung, Orchestrierung & Integration

  • Automatisierung routinemässiger Hunts und Anreicherung von Warnmeldungen mittels Skripten und Connectors
  • Integration von OpenEDR mit SIEM-, SOAR-Plattformen und Lösungen für Threat Intelligence
  • Skalierung von Telemetrie, Aufbewahrungsfristen und operative Überlegungen für Unternehmensbereitstellungen

Fortgeschrittene Anwendungsfälle & Zusammenarbeit mit dem Red Team

  • Simulation feindlichen Verhaltens zur Validierung: Purple-Team-Übungen und ATT&CK-basierte Emulation
  • Fallstudien: reale Hunts und Incident-Postanalysen
  • Gestaltung von Zyklen zur kontinuierlichen Verbesserung der Detektionsabdeckung

Capstone-Lab & Präsentationen

  • Geführtes Capstone: Vollständiger Hunt von der Hypothese über Eindämmung bis zur Ursachenanalyse anhand von Lab-Szenarien
  • Präsentationen der Ergebnisse und empfohlenen Gegenmassnahmen durch die Teilnehmer
  • Kursabschluss, Verteilung des Materials und empfohlene nächste Schritte

Voraussetzungen

  • Grundlegendes Verständnis der Endpunktsicherheit
  • Erfahrung in der Loganalyse sowie grundlegende Kenntnisse der Linux-/Windows-Administration
  • Vertrautheit mit gängigen Angriffstechniken und Konzepten des Incident Response

Zielgruppe

  • Analysten in Security Operations Centres (SOC)
  • Threat Hunters und Incident Responder
  • Sicherheitsingenieure, die für Detection Engineering und Telemetrie verantwortlich sind
 21 Stunden

Teilnehmerzahl


Preis je Teilnehmer (exkl. USt)

Erfahrungsberichte (2)

Kommende Kurse

Verwandte Kategorien