Kontakt aufnehmen

Schulungsübersicht

Einführung & Kursorientierung

  • Kursziele, erwartete Ergebnisse und Einrichtung der Lab-Umgebung
  • Architektur von EDR-Systemen auf hoher Ebene und OpenEDR-Komponenten
  • Überblick über das MITRE ATT&CK-Framework und Grundlagen des Threat Hunting

OpenEDR-Bereitstellung & Telemetrieerfassung

  • Installation und Konfiguration von OpenEDR-Agents auf Windows-Endpunkten
  • Serverkomponenten, Datenerfassungspipelines und Speicherüberlegungen
  • Konfiguration der Telemetriequellen, Ereignisnormalisierung und Anreicherung

Verständnis von Endpunkt-Telemetrie & Ereignismodellierung

  • Wichtige Endpunkt-Ereignistypen, Felder und deren Abbildung auf ATT&CK-Techniken
  • Ereignisfilterung, Korrelationsstrategien und Techniken zur Rauschunterdrückung
  • Erstellung zuverlässiger Detektionssignale aus Telemetrie mit geringer Fidelity

Abbildung von Detections auf MITRE ATT&CK

  • Übersetzung von Telemetriedaten in ATT&CK-Technikabdeckung und Erkennungslücken
  • Nutzung von ATT&CK Navigator und Dokumentation der Abbildungsentscheidungen
  • Priorisierung von Techniken für die Jagd basierend auf Risiko und Telemetrie-Verfügbarkeit

Threat-Hunting-Methodologien

  • Hypothesenbasiertes Hunting versus indicator-led investigations
  • Entwicklung von Hunt-Spielplänen und iterative Erkundungsworkflows
  • Praktische Hunting-Labs: Identifizierung von Lateral Movement, Persistenz und Privilege Escalation Mustern

Detection Engineering & Feinabstimmung

  • Entwurf von Detektionsregeln unter Nutzung von Ereigniskorrelation und Verhaltensbasislinien
  • Testen, Feinabstimmung zur Reduzierung falscher Positivmeldungen und Messung der Effektivität
  • Erstellung von Signaturen und analytischem Content für die Wiederverwendung in der gesamten Umgebung

Incident Response & Root-Cause-Analyse mit OpenEDR

  • Nutzung von OpenEDR zum Triage von Alerts, Untersuchung von Incidents und Erstellung von Angriffs-Timelines
  • Sammlung forensischer Artefakte, Beweissicherung und Berücksichtigung der Chain-of-Custody
  • Integration der Ergebnisse in IR-Spielpläne und Remediation-Workflows

Automatisierung, Orchestrierung & Integration

  • Automatisierung von routinemäßigen Hunts und Alert-Anreicherung durch Skripte und Konnektoren
  • Integration von OpenEDR mit SIEM-, SOAR- und Threat-Intelligence-Plattformen
  • Skalierung von Telemetrie, Aufbewahrungsfristen und operative Überlegungen für Enterprise-Bereitstellungen

Erweiterte Anwendungsfälle & Zusammenarbeit mit dem Red Team

  • Simulation gegnerischen Verhaltens zur Validierung: Purple-Team-Übungen und ATT&CK-basierte Emulation
  • Fallstudien: Realwelt-Hunts und Post-Incident-Analysen
  • Gestaltung von Continuous-Improvement-Zyklen für die Detection Coverage

Capstone-Lab & Präsentationen

  • Geführtes Capstone: Vollständiger Hunt von der Hypothese bis zur Containment und Root-Cause-Analyse anhand von Lab-Szenarien
  • Teilnehmerpräsentationen der Ergebnisse und empfohlener Maßnahmen
  • Kursabschluss, Bereitstellung der Materialien und empfohlene nächste Schritte

Voraussetzungen

  • Grundlegendes Verständnis der Endpunktsicherheit
  • Erfahrung in der Log-Analyse und grundlegende Kenntnisse der Linux-/Windows-Administration
  • Vertrautheit mit gängigen Angriffstechniken und Konzepten der Incident Response

Zielgruppe

  • Security Operations Center (SOC) Analysten
  • Threat Hunter und Incident Responder
  • Sicherheitsingenieure, die für Detection Engineering und Telemetrie verantwortlich sind
 21 Stunden

Teilnehmerzahl


Preis je Teilnehmer (exkl. USt)

Erfahrungsberichte (2)

Kommende Kurse

Verwandte Kategorien