Temario del curso
Introducción y orientación del curso
- Objetivos del curso, resultados esperados y configuración del entorno de laboratorio
- Arquitectura EDR de alto nivel y componentes de OpenEDR
- Revisión del marco de trabajo MITRE ATT&ACK y fundamentos de la caza de amenazas
Implementación de OpenEDR y recopilación de telemetría
- Instalación y configuración de agentes de OpenEDR en extremos Windows
- Componentes del servidor, tuberías de ingesta de datos y consideraciones de almacenamiento
- Configuración de fuentes de telemetría, normalización de eventos y enriquecimiento
Comprensión de la telemetría del extremo y modelado de eventos
- Tipos clave de eventos del extremo, campos y cómo se mapean a las técnicas de ATT&ACK
- Filtrado de eventos, estrategias de correlación y técnicas de reducción de ruido
- Creación de señales de detección confiables a partir de telemetría de baja fidelidad
Mapeo de detecciones a MITRE ATT&ACK
- Traducción de la telemetría a cobertura de técnicas ATT&ACK y vacíos de detección
- Uso de ATT&ACK Navigator y documentación de las decisiones de mapeo
- Priorización de técnicas para la caza basadas en el riesgo y la disponibilidad de telemetría
Metodologías de caza de amenazas
- Caza basada en hipótesis vs. investigaciones guiadas por indicadores
- Desarrollo de libros de juego para la caza y flujos de trabajo iterativos de descubrimiento
- Laboratorios prácticos de caza: identificación de patrones de movimiento lateral, persistencia y elevación de privilegios
Ingeniería de detección y ajuste fino
- Diseño de reglas de detección utilizando correlación de eventos y líneas base conductuales
- Prueba de reglas, ajuste para reducir falsos positivos y medición de la efectividad
- Creación de firmas y contenido analítico para su reutilización en todo el entorno
Respuesta a incidentes y análisis de causa raíz con OpenEDR
- Uso de OpenEDR para triaje de alertas, investigación de incidentes y cronología de ataques
- Recopilación de artefactos forenses, preservación de pruebas y consideraciones sobre la cadena de custodia
- Integración de hallazgos en los libros de juego de IR y flujos de trabajo de remediación
Automatización, orquestación e integración
- Automatización de cazas rutinarias y enriquecimiento de alertas mediante scripts y conectores
- Integración de OpenEDR con SIEM, plataformas SOAR e inteligencia de amenazas
- Escalado de telemetría, retención y consideraciones operativas para implementaciones empresariales
Casos de uso avanzados y colaboración con equipos de ataque (Red Team)
- Simulación del comportamiento del adversario para validación: ejercicios de equipo púrpura y emulación basada en ATT&ACK
- Estudios de caso: cazas en el mundo real y análisis posteriores a incidentes
- Diseño de ciclos de mejora continua para la cobertura de detección
Laboratorio final y presentaciones
- Taller final guiado: caza completa desde la hipótesis hasta el aislamiento y análisis de causa raíz utilizando escenarios del laboratorio
- Presentaciones de los participantes sobre hallazgos y mitigaciones recomendadas
- Cierre del curso, distribución de materiales y próximos pasos recomendados
Requerimientos
- Comprensión de los fundamentos de la seguridad en extremos
- Experiencia con análisis de registros y administración básica de Linux/Windows
- Familiaridad con técnicas de ataque comunes y conceptos de respuesta a incidentes
Público objetivo
- Analistas del Centro de Operaciones de Seguridad (SOC)
- Cazadores de amenazas y respondedores de incidentes
- Ingenieros de seguridad responsables de la ingeniería de detección y telemetría
Testimonios (2)
Claridad y ritmo de las explicaciones
Federica Galeazzi - Aethra Telecomunications SRL
Curso - AI-Powered Cybersecurity: Advanced Threat Detection & Response
Traducción Automática
El dominio que tenía el instructor acerca de todos los temas