SANS FOR509: Advanced Incident Response & Threat Hunting یکی از دورههای پیشرفته امنیت سایبری است که توسط SANS Institute ارائه میشود. این دوره برای متخصصین امنیت که میخواهند مهارتهای خود را در زمینه واکنش به حوادث (Incident Response) و شکار تهدیدات (Threat Hunting) تقویت کنند، طراحی شده است.
ویژگیهای اصلی دوره SANS FOR509:
- محتوای دوره:
- دوره FOR509 به تحلیل و شبیهسازی حملات پیچیده و نحوه واکنش به آنها میپردازد. این دوره به متخصصین کمک میکند تا بتوانند حملات سایبری پیچیده را شناسایی، تحلیل و به سرعت به آنها واکنش نشان دهند.
- همچنین، دوره به شما میآموزد که چگونه تهدیدات پیشرفته را در شبکهها، سیستمها و اپلیکیشنها شناسایی کرده و برای مقابله با آنها اقدام کنید.
- **تمرکز بر روی Incident Response و Threat Hunting:
- Incident Response: یاد خواهید گرفت که چگونه به حوادث امنیتی واکنش نشان دهید، شواهد را جمعآوری کنید، تجزیه و تحلیل کنید و مراحل واکنش به بحران را به طور مؤثر انجام دهید.
- Threat Hunting: به شما آموزش داده میشود که چگونه از دادههای موجود استفاده کنید تا تهدیدات پنهان در سیستمها و شبکهها را شناسایی کنید، تهدیدات پیشرفتهای که ممکن است از دید سیستمهای امنیتی معمولی پنهان بمانند.
- ابزارها و تکنیکهای پیشرفته:
- این دوره به شما کمک میکند تا با استفاده از ابزارهای پیشرفتهای همچون Kali Linux, Volatility, TheHive, Cortex و سایر ابزارهای مرتبط، برای تجزیه و تحلیل، بررسی و ردگیری تهدیدات اقدام کنید.
- همچنین، تکنیکهای مختلفی برای شکار تهدیدات، مانند TTPs (Tactics, Techniques, and Procedures) دشمنان، تجزیه و تحلیل رفتارهای مخرب، و تکنیکهای درک و شبیهسازی حملات بررسی خواهد شد.
- شبیهسازیهای عملی و سناریوهای واقعی:
- در این دوره، شرکتکنندگان با سناریوهای دنیای واقعی مواجه میشوند که نیاز به بررسی عمیق و انجام واکنشهای مؤثر به حملات دارند. این سناریوها شامل استفاده از ابزارهای مختلف و پیادهسازی فرایندهای واقعی واکنش به حوادث است.
- تمرینهای عملی شامل تجزیه و تحلیل لاگها، کشف تهدیدات در سیستمها و شبکهها، ردیابی حملات و تحلیل شواهد خواهد بود.
- اهداف دوره FOR509:
- تحلیل حوادث پیچیده: توانمندی در شناسایی و تحلیل حملات پیچیده و جمعآوری اطلاعات از سیستمها و شبکهها.
- شکار تهدیدات پیشرفته: استفاده از تکنیکهای پیشرفته برای شناسایی تهدیدات که از ابزارهای معمول ممکن است پنهان بمانند.
- تحلیل شواهد دیجیتال: جمعآوری شواهد دیجیتال و استفاده از آنها برای شبیهسازی حملات و واکنش به آنها.
- پیادهسازی اقدامات دفاعی: بهبود اقدامات دفاعی برای جلوگیری از حملات مشابه در آینده.
- مخاطبین دوره FOR509:
- این دوره بیشتر برای افرادی مناسب است که تجربهای در زمینه امنیت سایبری دارند و میخواهند در زمینه واکنش به حوادث و شکار تهدیدات تخصص بیشتری پیدا کنند.
- متخصصین امنیتی، تحلیلگران امنیت، کارشناسان پاسخ به حوادث و تیمهای امنیتی که نیاز به ابزارهای پیشرفته برای شناسایی و مقابله با حملات دارند، مخاطبین اصلی این دوره هستند.
- مدرک پایان دوره:
- بعد از اتمام دوره، شما قادر خواهید بود برای دریافت GIAC Certified Incident Handler (GCIH) مدرک آزمون دهید که به طور جهانی به رسمیت شناخته میشود.
خلاصهای از ویژگیهای دوره SANS FOR509:
- هدف: آموزش مهارتهای پیشرفته در واکنش به حوادث و شکار تهدیدات.
- مخاطب: متخصصین امنیت، تحلیلگران امنیتی، تیمهای واکنش به حوادث.
- تمرکز: شبیهسازی حملات پیشرفته، جمعآوری شواهد دیجیتال، شکار تهدیدات پیشرفته.
- ابزارها: استفاده از ابزارهای پیشرفته مانند Volatility, Kali Linux, TheHive, Cortex و دیگر ابزارهای امنیتی.
- مدرک پایانی: GIAC Certified Incident Handler (GCIH)
این دوره میتواند یک گام مهم برای افرادی باشد که قصد دارند در زمینه امنیت سایبری و دفاع در برابر حملات پیچیده به مهارتهای پیشرفته دست یابند.
لینک دانلود دوره آموزشی SANS FOR509: Enterprise Cloud Forensics and Incident Response
حجم: 7.3 گیگابایت
دانلود – eBooks PDF
دانلود – Video – بخش اول
دانلود – Video – بخش دوم
دانلود – Video – بخش سوم
دانلود – Video – بخش چهازم
دانلود – Virtual Machine – بخش اول
دانلود – Virtual Machine – بخش دوم
دانلود – Virtual Machine – بخش سوم
Date: 2022
Price: $8,525 USD
Publisher: SANS
By: David Cowen, Pierre Lidome, Josh Lemon, Megan Roddie-Fonseca
Format: eBook PDF + WorkBook + Video + Virtual Machine
Website: Link
What You Will Learn
Find the Storm in the Cloud
FOR509: Enterprise Cloud Forensics and Incident Response will help you
- Understand forensic data only available in the cloud
- Implement best practices in cloud logging for DFIR
- Learn how to leverage Microsoft Azure, AWS and Google Cloud Platform resources to gather evidence
- Understand what logs Microsoft 365 and Google Workspace have available for analysts to review
- Learn how to move your forensic processes to the cloud for faster data processing
With FOR509: Enterprise Cloud Forensics and Incident Response, examiners will learn how each of the major cloud service providers (Microsoft Azure, Amazon AWS and Google Cloud Platform) are extending analyst’s capabilities with new evidence sources not available in traditional on-premise investigations. From cloud equivalents of network traffic monitoring to direct hypervisor interaction for evidence preservation, forensics is not dead. It is reborn with new technologies and capabilities.
Incident response and forensics are primarily about following breadcrumbs left behind by attackers. These breadcrumbs are primarily found in logs. Your knowledge of the investigation process is far more important than the mechanics of acquiring the logs.
This class focuses on log analysis to help examiners come up to speed quickly with cloud-based investigation techniques. It’s critical to know which logs are available in the cloud, their retention, whether they are turned on by default, and how to interpret the meaning of the events they contain.
Numerous hands-on labs throughout the course will allow examiners to access evidence generated based on the most common incidents and investigations. Examiners will learn where to pull data from and how to analyze it to find evil. The data will be available in your VM rather than accessed directly via the cloud to ensure a consistent lab experience.
FOR509 Enterprise Cloud Forensics Will Prepare Your Team To
- Learn and master the tools, techniques, and procedures necessary to effectively locate, identify, and collect data no matter where it is located
- Identify and utilize new data only available from cloud environments
- Utilize cloud-native tools to capture and extract traditional host evidence
- Quickly parse and filter large data sets using scalable technologies such as the Elastic Stack
- Understand what data is available in various cloud environments
FOR509 Enterprise Cloud Forensics Course Topics
- Cloud Infrastructure and IR data sources
- Microsoft 365 and Graph API Investigations
- Azure Incident Response
- AWS Incident Response
- High-level Kubernetes Clouds logs
- Google Workspace Investigations
- Google Cloud Incident Response
Business Takeaways
- Understand digital forensics and incident response as it applies to the cloud
- Identify malicious activities within the cloud
- Cost-effectively use cloud-native tools and services for DFIR
- Ensure the business is adequately prepared to respond to cloud incidents
- Decrease adversary dwell time in compromised cloud deployments
What You Will Receive
- SOF-ELK(R) Virtual Machine – a publicly available appliance running the Elastic Stack and the course author’s custom set of configurations and lab data. The VM is preconfigured to ingest cloud logs from Microsoft 365, Azure, AWS, Google Cloud and Google Workspace. It will be used during the class to help students wade through the large number of records they are likely to encounter during a typical investigation.
- Case data to examine during class.
- Electronic workbook with detailed step-by-step instructions and examples to help you master cloud forensics
Syllabus (36 CPEs)
FOR509.1: Microsoft 365 and Graph API
FOR509.2: Microsoft Azure
FOR509.3: Amazon (AWS)
FOR509.4: Google Workspace
FOR509.5: Google Cloud
FOR509.6: Multi-Cloud Intrusion Challenge
- Design
