Hero
Training

Respuesta a Incidentes Empresariales de Windows

18–22 de Octubre, 2021 (Americas)

Los ataques contra los sistemas informáticos continúan aumentando en frecuencia y sofisticación. Para defender eficazmente los datos y la propiedad intelectual, las organizaciones deben tener la capacidad de detectar y responder rápidamente a las amenazas.

¿Tiene Preguntas?
Si Usted tiene preguntas adicionales, contáctenos por email.

mandiant academy

RESUMEN

Este curso intensivo en línea está diseñado para enseñar las técnicas de investigación fundamentales necesarias para responder a las amenazas actuales. Esta clase se basa en una serie de laboratorios prácticos que destacan las fases de un ataque dirigido, las fuentes clave de evidencia y los conocimientos de análisis forense necesarios para analizarlas. Los estudiantes aprenderán cómo realizar un triaje rápido en un sistema para determinar si está comprometido, descubrir evidencia de los vectores de ataque iniciales, reconocer los mecanismos de persistencia, investigar un incidente en toda la empresa y mucho más.


Información del Evento

  • UBICACIÓN: En línea
  • FECHAS: 18 al 22 de octubre, 2021  
  • HORA: 
    • UTC 14:00–19:30
    • 9:00–14:30 (Ciudad de México/Panamá/Bogotá/Lima)
    • 10:00-15:30 (Caracas/La Paz)
    • 11:00-16:30 (Santiago/Buenos Aires/Montevideo)
    • 16:00–21:30 (Madrid)
  • Precio: US$4,000 o 4 unidades de EOD
Se aceptan unidades de Expertise on Demand (EOD).

DESCRIPCIÓN DEL CURSO

  • El curso consta de los siguientes módulos con ejercicios incluidos a lo largo del entrenamiento.
  • Proceso de Respuesta a Incidentes  – Una introducción al panorama de amenazas, el ciclo de vida de los ataques dirigidos, los vectores de ataque iniciales utilizados por diferentes actores de amenazas y las fases de un proceso eficaz de respuesta a incidentes.
  • Análisis Individual de Sistemas – Este módulo incluye información detallada sobre las formas más comunes de recopilación de pruebas forenses de puntos finales y los beneficios y limitaciones de cada una. Se profundizará en los metadatos del sistema de archivos, el registro, las bitácoras de eventos, los servicios, los mecanismos de persistencia comunes y los artefactos de ejecución. A los estudiantes se les enseñará a responder las preguntas clave sobre lo ocurrido.
    • Metadatos del Sistema de Archivos
    • Bitácoras de Eventos
    • Registro de Windows
    • Análisis de la memoria
  • Investigaciones Empresariales – Cómo aplicar las lecciones aprendidas de los módulos anteriores para investigar de manera proactiva un entorno completo, a escala, en busca de signos de compromiso. Un análisis en profundidad de cómo los atacantes se mueven de un sistema a otro en un entorno Windows comprometido, las distinciones entre los inicios de sesión en la red y el acceso interactivo, y las fuentes de evidencia resultantes en el disco, en los registros y en el registro.
  • Gestión de Investigaciones – La gestión y el registro eficaz de la información relacionada con las investigaciones y los incidentes en curso es fundamental para el éxito. Este módulo cubrirá las mejores prácticas y algunos enfoques de la gestión de la información que enriquecen el proceso de investigación y refuerzan el programa de seguridad empresarial.
  • Remediación – La fase de remediación de una investigación empresarial es una parte importante del proceso de respuesta a incidentes. La discusión sobre la contención y remediación de un incidente de seguridad conectará las acciones inmediatas a corto plazo tomadas durante un incidente en vivo, con una postura estratégica a más largo plazo para mejorar la capacidad de recuperación de la organización en su conjunto.
  • Caza de Amenazas – La caza de amenazas es un componente fundamental de un programa de seguridad empresarial eficaz. La caza se realiza utilizando inteligencia de amenazas, detección de anomalías y técnicas, tácticas y procedimientos de actores de amenazas conocidos (TTP). Se aplicarán las lecciones aprendidas de los módulos anteriores para investigar de manera proactiva un entorno completo, a escala, en busca de signos de compromiso.

Agenda

Día 1
  • Proceso de respuesta a incidentes
  • Análisis Individual de Sistema
    • Artefactos volátiles
    • Artefactos no volátiles  
Día 2
  • Investigaciones Empresariales 
Día 3
  • Gestión de Investigaciones
Día 4
  • Remediación
Día 5
  • Cazas de Amenazas
  • Sesión de Preguntas y Respuestas

QUIÉN DEBERÍA TOMAR ESTE CURSO

Este es un curso técnico de ritmo rápido que está diseñado para proporcionar experiencia práctica en la investigación de ataques dirigidos y los pasos de análisis necesarios para clasificar los sistemas comprometidos. El contenido y el ritmo están destinados a estudiantes con experiencia en la realización de análisis forenses, análisis de tráfico de red, análisis de registros, evaluaciones de seguridad y pruebas de penetración, o incluso tareas de administración de sistemas y arquitectura de seguridad. También es adecuado para quienes administran equipos de respuesta a incidentes o en roles que requieren supervisión de análisis forenses y otras tareas de investigación.

REQUISITOS DEL ESTUDIANTE

Los estudiantes deben tener un conocimiento práctico del sistema operativo Windows, el sistema de archivos, el registro y el uso de la línea de comandos. También será beneficioso estar familiarizado con Active Directory y los controles de seguridad básicos de Windows y los protocolos de red comunes.

PREREQUISITOS DEL LABORATORIO

Los estudiantes requerirán una computadora que cumpla con los siguientes requisitos mínimos:

  • Windows 7+ (si se utiliza una VM; asignar, como mínimo, 4 GB de RAM)
  • Privilegios de administrador local (requerido para instalar Redline)
  • Exclusión del AV para USB/contenido de SecureFile
  • Core i5 o procesador equivalente
  • Sistema de 6 GB (preferiblemente 8 GB) de RAM
  • 25 GB de espacio en el disco duro
  • Microsoft Office 2007 o más reciente (se recomienda Office 2016) instalado fuera de la máquina virtual
  • Las máquinas virtuales son aceptables siempre que se puedan asignar al menos 4 GB de RAM. Los estudiantes son responsables de proporcionar sus propias copias de las licencias para Windows.

MATERIALES DEL CURSO

Los estudiantes recibirán un libro de laboratorio y acceso a todos los materiales y herramientas requeridos para la clase.