Informatyka wywiadowcza Poziom strategiczny Poziom operacyjny Poziom taktyczny Cykl działań wywiadowczych Planowanie i wyznaczanie celu Przygotowywanie i gromadzenie danych Przetwarzanie i wykorzystywanie danych Analiza i wytwarzanie informacji Rozpowszechnianie i integracja wiedzy Ocena i informacje zwrotne Definiowanie Twojego zapotrzebowania na informacje wywiadowcze Proces gromadzenia danych Wskaźniki naruszenia bezpieczeństwa Zrozumieć złośliwe oprogramowanie Wykorzystanie źródeł publicznych do gromadzenia danych - OSINT Honeypoty Analiza złośliwego oprogramowania i sandboxing Przetwarzanie i wykorzystywanie danych Cyber Kill Chain® Model diamentowy Framework MITRE ATT&CK Tendencyjność a analiza informacji Czym jest polowanie na zagrożenia? Czym jest polowanie na zagrożenia? Rodzaje polowań na zagrożenia Zestaw umiejętności łowcy zagrożeń Piramida Model dojrzałości w procesie polowania na zagrożenia Określenie naszego modelu dojrzałości Proces polowania na zagrożenia Pętla polowania na zagrożenia Model polowania na zagrożenia Metodologia oparta na danych TaHiTI - polowanie ukierunkowane integrujące informatykę wywiadowczą Z jakich źródeł pozyskujemy dane? Zrozumienie zebranych danych Podstawy systemów w operacyjnych Podstawy działania sieci komputerowych Narzędzia dostępne w systemie Windows Podgląd zdarzeń w systemie Windows Instrumentacja zarządzania systemem Windows (WMI) Śledzenie zdarzeń dla Windows (ETW) Źródła danych Dane z punktów końcowych Dane sieciowe Dane zabezpieczeń Zrozumieć przeciwnika Jak mapować przeciwnika Framework ATT&CK Taktyki, techniki, subtechniki i procedury Macierz ATT&CK Nawigator ATT&CK Mapowanie za pomocą frameworka ATT&CK Praca z danymi Używanie słowników danych Metadane zdarzeń zagrażających bezpieczeństwu typu open source Używanie narzędzia MITRE CAR CARET Używanie Sigmy Jak emulować przeciwnika Stworzenie planu emulacji przeciwnika Czym jest emulacja przeciwnika? Plan emulacji zespołu MITRE ATT&CK Jak emulować zagrożenie Atomic Red Team Mordor (Security Datasets) CALDERA Jak pracować z wykorzystaniem środowiska badawczego Jak stworzyć środowisko badawcze Konfigurowanie środowiska badawczego Instalowanie środowiska wirtualnego VMware ESXI Tworzenie sieci VLAN Konfigurowanie zapory (firewalla) Instalowanie systemu operacyjnego Windows Server Konfigurowanie systemu operacyjnego Windows Server w roli kontrolera domeny Zrozumienie struktury usługi katalogowej Active Directory Nadanie serwerowi statusu kontrolera domeny Konfigurowanie serwera DHCP Tworzenie jednostek organizacyjnych Tworzenie użytkowników Tworzenie grup Obiekty zasad grupy Konfigurowanie zasad inspekcji Dodawanie nowych klientów Konfigurowanie stosu ELK Konfigurowanie usługi systemowej Sysmon Pobieranie certyfikatu Konfigurowanie aplikacji Winlogbeat Szukanie naszych danych w instancji stosu ELK Bonus - dodawanie zbiorów danych Mordor do naszej instancji stosu ELK HELK - narzędzie open source autorstwa Roberto Rodrigueza Rozpoczęcie pracy z platformą HELK Jak przeprowadzać kwerendę danych Atomowe polowanie z użyciem bibliotek Atomic Red Team Cykl testowy bibliotek Atomic Red Team Testowanie dostępu początkowego Testowanie wykonania Testowanie zdolności do przetrwania Testy nadużywania przywilejów Testowanie unikania systemów obronnych Testowanie pod kątem wykrywania przez atakującego zasobów ofiary Testowanie taktyki wysyłania poleceń i sterowania (C2) Invoke-AtomicRedTeam Quasar RAT Przypadki użycia trojana Quasar RAT w świecie rzeczywistym Uruchamianie i wykrywanie trojana Quasar RAT Testowanie zdolności do przetrwania Testowanie dostępu do danych uwierzytelniających Badanie ruchu w poprzecznych Jak polować na przeciwnika Oceny przeprowadzone przez MITRE Importowanie zbiorów danych APT29 do bazy HELK Polowanie na APT29 Używanie frameworka MITRE CALDERA Konfigurowanie programu CALDERA Wykonanie planu emulacji za pomocą programu CALDERA Reguły pisane w języku Sigma. Znaczenie dokumentowania i automatyzowania procesu Znaczenie dokumentacji Klucz do pisania dobrej dokumentacji Dokumentowanie polowań Threat Hunter Playbook Jupyter Notebook Aktualizowanie procesu polowania Znaczenie automatyzacji. Wymiana informacji kluczem do sukcesu Jak oceniać jakość danych Jak odróżnić dane dobrej jakości od danych złej jakości Wymiary danych Jak poprawić jakość danych OSSEM Power-up DeTT&CT Sysmon-Modular Jak zrozumieć dane wyjściowe Jak zrozumieć wyniki polowania Znaczenie wyboru dobrych narzędzi analitycznych. Jak zdefiniować dobre wskaźniki śledzenia postępów Znaczenie definiowania dobrych wskaźników Jak określić sukces programu polowań Korzystanie z frameworka MaGMA for Threat Hunting Jak stworzyć zespół szybkiego reagowania i jak informować zarząd o wynikach polowań Jak zaangażować w działanie zespół reagowania na incydenty Wpływ komunikowania się na sukces programu polowania na zagrożenia