Schulungsübersicht
Einführung und Kursorientierung
- Kursziele, erwartete Ergebnisse und Einrichten der Lab-Umgebung
- Architektur von EDR-Lösungen auf hoher Ebene sowie die Komponenten von OpenEDR
- Überblick über das MITRE ATT&CK-Framework und Grundlagen des Threat Hunting
Installation von OpenEDR & Erfassung von Telemetriedaten
- Installation und Konfiguration der OpenEDR-Agents auf Windows-Endpunkten
- Serverkomponenten, Daten-Ingestion-Pipelines und Speicherüberlegungen
- Konfiguration von Telemetriequellen, Ereignisnormalisierung und Anreicherung
Verständnis der Endpunkt-Telemetrie & Ereignismodellierung
- Wichtige Typen von Endpunkt-Ereignissen, Felder und deren Zuordnung zu ATT&CK-Techniken
- Ereignisfilterung, Korrelationsstrategien und Techniken zur Reduzierung von Störsignalen
- Erstellung zuverlässiger Detektionssignale aus Telemetriedaten mit geringer Aussagekraft
Zuordnung von Detektionen zu MITRE ATT&CK
- Übersetzung der Telemetrie in eine Abdeckung durch ATT&CK-Techniken und Identifizierung von Detektionslücken
- Nutzung von ATT&CK Navigator sowie Dokumentation der Zuordnungsentscheidungen
- Priorisierung von Techniken für das Threat Hunting basierend auf Risiko und Verfügbarkeit der Telemetrie
Methodologien des Threat Hunting
- Hypothesengetriebenes Hunting versus indikatorsbasierte Untersuchungen
- Entwicklung von Hunt-Playbooks und iterativen Discoverys-Workflows
- Praxislabs zum Threat Hunting: Identifizierung von lateraler Bewegung, Persistenz und Privilegienerhöhungs-Mustern
Detection Engineering & Optimierung
- Entwurf von Detektionsregeln unter Verwendung von Ereigniskorrelation und Verhaltens-Baselines
- Testen der Regeln, Feinabstimmung zur Reduzierung von False Positives und Messen der Effektivität
- Erstellung von Signaturen und analytischem Content für die Wiederverwendung in der gesamten Umgebung
Incident Response & Ursachenanalyse mit OpenEDR
- Nutzung von OpenEDR zur Triage von Warnmeldungen, Untersuchung von Vorfällen und Erstellung von Angriffstimelines
- Sammeln forensischer Artefakte, Sicherung der Beweise und Beachtung der Chain-of-Custody-Anforderungen
- Integration der Ergebnisse in IR-Playbooks und Remediation-Workflows
Automatisierung, Orchestrierung & Integration
- Automatisierung routinemässiger Hunts und Anreicherung von Warnmeldungen mittels Skripten und Connectors
- Integration von OpenEDR mit SIEM-, SOAR-Plattformen und Lösungen für Threat Intelligence
- Skalierung von Telemetrie, Aufbewahrungsfristen und operative Überlegungen für Unternehmensbereitstellungen
Fortgeschrittene Anwendungsfälle & Zusammenarbeit mit dem Red Team
- Simulation feindlichen Verhaltens zur Validierung: Purple-Team-Übungen und ATT&CK-basierte Emulation
- Fallstudien: reale Hunts und Incident-Postanalysen
- Gestaltung von Zyklen zur kontinuierlichen Verbesserung der Detektionsabdeckung
Capstone-Lab & Präsentationen
- Geführtes Capstone: Vollständiger Hunt von der Hypothese über Eindämmung bis zur Ursachenanalyse anhand von Lab-Szenarien
- Präsentationen der Ergebnisse und empfohlenen Gegenmassnahmen durch die Teilnehmer
- Kursabschluss, Verteilung des Materials und empfohlene nächste Schritte
Voraussetzungen
- Grundlegendes Verständnis der Endpunktsicherheit
- Erfahrung in der Loganalyse sowie grundlegende Kenntnisse der Linux-/Windows-Administration
- Vertrautheit mit gängigen Angriffstechniken und Konzepten des Incident Response
Zielgruppe
- Analysten in Security Operations Centres (SOC)
- Threat Hunters und Incident Responder
- Sicherheitsingenieure, die für Detection Engineering und Telemetrie verantwortlich sind
Erfahrungsberichte (2)
Klarheit und Tempo der Erklärungen
Federica Galeazzi - Aethra Telecomunications SRL
Kurs - AI-Powered Cybersecurity: Advanced Threat Detection & Response
Maschinelle Übersetzung
Es hat mir die Einblicke gegeben, die ich benötigte :) Ich beginne mit dem Unterricht in einer BTEC Level 3 Qualifikation und wollte mein Wissen in diesem Bereich erweitern.
Otilia Pasareti - Merthyr College
Kurs - Fundamentals of Corporate Cyber Warfare
Maschinelle Übersetzung