Digitale Forensik und Incident Response (DFIR)

Erhalten Sie Einblick in die Analyse und Aufklärung von Angriffen auf Firmennetzwerke. Wir vermitteln Ihnen die Vorgehensweise und das technische Verständnis um Vorfälle aufzuklären und Massnahmen einzuleiten.

Checklisten gibt es viele, diese praktische Schulung bietet mehr: Sie werden in der Lage sein, Cyberangriffe mit aktuellsten Methoden und Tools zu analysieren und abzuwehren.

Lernziel

Das Ziel dieses Trainings ist es, ein technisches Verständnis für die digitale Forensik im Rahmen von typischen Notfalleinsätzen zu entwickeln. Es werden dabei sowohl die gängigen Vorgehensweisen als auch die wichtigsten technischen Details erklärt, sowie das Wissen mittels praktischer Übungen und Workshops vertieft.

Am letzten Tag klären die Kursteilnehmenden einen Vorfall in einer verseuchten Windows-Infrastruktur auf. Es gilt dabei, die gelernten Fragmente zu einem grossen Ganzen zusammenzufügen und die Herausforderungen in der Aufklärung von Angriffen in Firmennetzwerken zu erkennen.

Die Kursteilnehmenden erhalten damit die wohl einmalige Gelegenheit, die heute übliche Vorgehensweise von "Human Operated Ransomware" aufzuklären. In den dazu entwickelten Aufgaben können sie die Eintrittspfade analysieren und die Privilege-Escalation-Angriffe untersuchen. Sie können zudem nachvollziehen, wie sich Schadcode versteckt und ausbreitet.

Abgrenzung: Dieser Kurs vermittelt das Wissen zu typischen Angriffen auf Firmennetzwerke. Die Inhalte konzentrieren sich deshalb stark auf das Windows Betriebssystem sowie Windows-basierte Netzwerke und den damit verbundenen, notwendigsten technischen Details für die Aufklärung von Vorfällen. Tiefgreifende Analysetechniken, wie diese für die Untersuchung von Schadcode oder flüchtiger Speicher (Memory) benötigt werden, sind nicht Teil des Kurses. 

Zudem werden Aspekte zu Cloud-Diensten und SaaS-Umgebungen abgegrenzt.

Highlights aus dem Programm

  • Kenntnisse über typische Angriffe und die Abbildung auf der Cyber Kill Chain
  • Kategorisierung und Hilfestellung mittels MITRE ATT&CK Matrix, TTPs
  • Klassische Disk Forensik (MBR, GPTs, NTFS, MFT, Journals)
  • Relevante Windows Artefakte bei Cyberangriffen (Execution, Persistence)
  • Wichtige Windows Event Logs (Logons, Remote Access, Credential Access)
  • Aspekte der Netzwerkanalyse (C2 Traffic, Detection)
  • Incident Handling Process und Frameworks (NIST, SANS, Mandiant)
  • Aktuelle Forensik Vorgehensweisen und Tools (Velociraptor)
  • Untersuchung einer verseuchten Windows Domäne
  • Forensic Readiness aus der Praxis
  • Die Übungen werden online auf www.hacking-lab.com absolviert

Zielgruppe

  • Security Officers
  • Network Administrators/Engineers
  • Systemadministratorinnen/-administratoren (Unix/Linux/Windows)
  • Firewall Administrators/Engineers
  • Windows Active Directory Administrators
  • Level 1/2 SOC Analystinnen und Analysten

Voraussetzung

  • Vertrautheit mit der Kommandozeile (Windows CMD/PowerShell, Linux Bash)
  • Grundkenntnisse in Netzwerkprotokollen und -diensten (DNS/TCP/IP/HTTP)
  • Grundkenntnisse in Windows-Netzwerken/-Domänen
  • Basis-Verständnis zu Cyberangriffen
  • BYOD-Kurs (Microsoft Remote Desktop / Remmina notwendig)
  • Für die Analysen stellen wir virtuelle Maschinen zur Verfügung