Cíle kurzu
- Toto jednodenní nadstavbové školení navazuje na kurz "Bezpečnostní monitoring a reakce na incidenty" a poskytuje účastníkům základní znalosti nezbytné pro zavedení efektivních threat hunting programů i vlastní realizaci proaktivních "lovů" zaměřených na identifikaci hrozeb v interním prostředí jejich organizací.Kurz je určen zejména pro:- L1 operátory SOC center- Juniorní analytiky CSIRT týmů- Ostatní IT pracovníky se zájmem o bezpečnost.- Školení je možné za zvýhodněných podmínek zorganizovat i jako uzavřený kurz pro členy určitého SOC nebo CSIRT týmu či interní zaměstnance jedné organizace. V takovém případě je na přání zákazníka za určitých okolností také možné doplnit či modifikovat obsah školení. Kurz je při zajištění nezbytného HW současně rovněž možné realizovat přímo v prostorách zákazníka.Obsah kurzu
Teoretický úvod- Principy threat huntingu a základní přístupy k němu- Zasazení threat huntingu do existujících bezpečnostních procesů v rámci organizaceVýchodiska pro threat hunting- Modely hrozeb- Threat intelligence- Získávání TTP a IoC a práce s nimi- Formulace hypotézThreat hunting na koncových bodech- Zdroje dat- Baselining- Souborový systém- Procesy- Perzistence- Tvorba pokročilých YARA pravidel- Nástroje pro verifikaci výskytu IoC- Práce s EDRThreat hunting na úrovni sítě- Zdroje dat- Nestandardní síťové chování- Odhalování exfiltrace dat- Analýzy záchytů provozuObecná doporučení pro threat hunting- Metriky pro vyhodnocování threat huntingu- AutomatizacePředpoklady
- Pro účast na školení je nezbytné předchozí absolvování kurzu Bezpečnostní monitoring a reakce na incidenty, nebo znalosti a zkušenosti odpovídající obsahu jmenovaného kurzu.Studijní materiály
Na školení formou on-site účastníci obdrží tištěnou verzi studijních materiálů.Na školení formou online účastníci obdrží přístup k elektronické verzi studijních materiálů.