聯繫我們

課程簡介

導論與課程介紹

  • 課程目標、預期成果及實驗室環境設置
  • EDR架構概觀與OpenEDR組件
  • MITRE ATT&CK框架回顧及威脅獵捕基礎

OpenEDR部署與遥測數據收集

  • 在Windows端點上安裝和配置OpenEDR代理
  • 服務器組件、數據入站管道及儲存考量
  • 配置遥測來源、事件標準化及增強

理解端點遥測與事件建模

  • 關鍵端點事件類型、字段及其如何映射到ATT&CK技術
  • 事件過濾、關聯策略和降噪技術
  • 從低保真度遥測創建可靠的檢測信號

將檢測映射到MITRE ATT&CK

  • 將遥測轉化為ATT&CK技術覆蓋範圍及檢測缺口
  • 使用ATT&CK Navigator並記錄映射決策
  • 根據風險和遥測可用性優先處理獵捕技術

威脅獵捕方法論

  • 假設驅動的獵捕與指標導向的調查對比
  • 獵捕戰術手冊開發及迭代發現工作流程
  • 實作獵捕實驗室:識別橫向移動、持久化和權限提升模式

檢測工程與調優

  • 使用事件關聯和行為基準設計檢測規則
  • 規則測試、調優以减少誤報,並評估有效性
  • 創建可在整個環境中複用的簽名和分析內容

使用OpenEDR進行事件響應與根本原因分析

  • 使用OpenEDR進行警報分級、事故調查及攻擊時間線重建
  • forensic 證據收集、保全及保管鏈考量
  • 將發現整合到IR戰術手冊及修復工作流程中

自動化、編排與整合

  • 使用腳本和连接器自動化常規獵捕及警報增強
  • 將OpenEDR與SIEM、SOAR及威脅情报平台整合
  • 擴大企业部署的遥測數據、保留期及運營考量

進階用例與紅隊協作

  • 模擬adversary行為以進行驗證:紫隊演練及基於ATT&CK的模擬
  • 案例研究:真實世界的獵捕及事後分析
  • 設計檢測覆蓋範圍的持續改進週期

總結實驗室與簡報

  • 引導式總結:從假設到 containment 和根本原因分析的完整獵捕,使用實驗室場景
  • 參與者分享發現及建議的減輕措施簡報
  • 課程總結、資料發放及推薦下一步行動

最低要求

  • 理解端點安全的基礎知識
  • 具備日誌分析以及基本Linux/Windows管理經驗
  • 熟悉常見的攻擊技術和事件響應概念

受眾

  • 安全操作中心(SOC)分析師
  • 威脅獵手和事件響應人員
  • 負責檢測工程及遥測的安全工程師
 21 小時

人數


每位參與者的報價

客戶評論 (2)

即將到來的課程

課程分類