Schulungsübersicht
Einführung & Kursorientierung
- Kursziele, erwartete Ergebnisse und Einrichtung der Lab-Umgebung
- Architektur von EDR-Systemen auf hoher Ebene und OpenEDR-Komponenten
- Überblick über das MITRE ATT&CK-Framework und Grundlagen des Threat Hunting
OpenEDR-Bereitstellung & Telemetrieerfassung
- Installation und Konfiguration von OpenEDR-Agents auf Windows-Endpunkten
- Serverkomponenten, Datenerfassungspipelines und Speicherüberlegungen
- Konfiguration der Telemetriequellen, Ereignisnormalisierung und Anreicherung
Verständnis von Endpunkt-Telemetrie & Ereignismodellierung
- Wichtige Endpunkt-Ereignistypen, Felder und deren Abbildung auf ATT&CK-Techniken
- Ereignisfilterung, Korrelationsstrategien und Techniken zur Rauschunterdrückung
- Erstellung zuverlässiger Detektionssignale aus Telemetrie mit geringer Fidelity
Abbildung von Detections auf MITRE ATT&CK
- Übersetzung von Telemetriedaten in ATT&CK-Technikabdeckung und Erkennungslücken
- Nutzung von ATT&CK Navigator und Dokumentation der Abbildungsentscheidungen
- Priorisierung von Techniken für die Jagd basierend auf Risiko und Telemetrie-Verfügbarkeit
Threat-Hunting-Methodologien
- Hypothesenbasiertes Hunting versus indicator-led investigations
- Entwicklung von Hunt-Spielplänen und iterative Erkundungsworkflows
- Praktische Hunting-Labs: Identifizierung von Lateral Movement, Persistenz und Privilege Escalation Mustern
Detection Engineering & Feinabstimmung
- Entwurf von Detektionsregeln unter Nutzung von Ereigniskorrelation und Verhaltensbasislinien
- Testen, Feinabstimmung zur Reduzierung falscher Positivmeldungen und Messung der Effektivität
- Erstellung von Signaturen und analytischem Content für die Wiederverwendung in der gesamten Umgebung
Incident Response & Root-Cause-Analyse mit OpenEDR
- Nutzung von OpenEDR zum Triage von Alerts, Untersuchung von Incidents und Erstellung von Angriffs-Timelines
- Sammlung forensischer Artefakte, Beweissicherung und Berücksichtigung der Chain-of-Custody
- Integration der Ergebnisse in IR-Spielpläne und Remediation-Workflows
Automatisierung, Orchestrierung & Integration
- Automatisierung von routinemäßigen Hunts und Alert-Anreicherung durch Skripte und Konnektoren
- Integration von OpenEDR mit SIEM-, SOAR- und Threat-Intelligence-Plattformen
- Skalierung von Telemetrie, Aufbewahrungsfristen und operative Überlegungen für Enterprise-Bereitstellungen
Erweiterte Anwendungsfälle & Zusammenarbeit mit dem Red Team
- Simulation gegnerischen Verhaltens zur Validierung: Purple-Team-Übungen und ATT&CK-basierte Emulation
- Fallstudien: Realwelt-Hunts und Post-Incident-Analysen
- Gestaltung von Continuous-Improvement-Zyklen für die Detection Coverage
Capstone-Lab & Präsentationen
- Geführtes Capstone: Vollständiger Hunt von der Hypothese bis zur Containment und Root-Cause-Analyse anhand von Lab-Szenarien
- Teilnehmerpräsentationen der Ergebnisse und empfohlener Maßnahmen
- Kursabschluss, Bereitstellung der Materialien und empfohlene nächste Schritte
Voraussetzungen
- Grundlegendes Verständnis der Endpunktsicherheit
- Erfahrung in der Log-Analyse und grundlegende Kenntnisse der Linux-/Windows-Administration
- Vertrautheit mit gängigen Angriffstechniken und Konzepten der Incident Response
Zielgruppe
- Security Operations Center (SOC) Analysten
- Threat Hunter und Incident Responder
- Sicherheitsingenieure, die für Detection Engineering und Telemetrie verantwortlich sind
Erfahrungsberichte (2)
Klarheit und Tempo der Erklärungen
Federica Galeazzi - Aethra Telecomunications SRL
Kurs - AI-Powered Cybersecurity: Advanced Threat Detection & Response
Maschinelle Übersetzung
Es hat mir die Einblicke gegeben, die ich benötigte :) Ich beginne mit dem Unterricht in einer BTEC Level 3 Qualifikation und wollte mein Wissen in diesem Bereich erweitern.
Otilia Pasareti - Merthyr College
Kurs - Fundamentals of Corporate Cyber Warfare
Maschinelle Übersetzung