آموزش اطلاعات تهدید سایبری

سرفصل ها و درس ها

معرفی Introduction

• خوش آمدی Welcome

• اسلایدهای دوره Course Slides

• مهم - مبانی IMPORTANT - Basics

• مهم - دموها IMPORTANT - Demos

• سوالات متداول FAQs

مبانی - SOC Basics - SOC

• پیچیدگی و چالش های امنیت سایبری Complexity and Cyber Security Challenges

• SOC چیست؟ What is a SOC?

• مدل SOC SOC Model

• فرآیند پاسخگویی به حوادث امنیت سایبری Cyber Security Incident Response Process

• EDR، XDR، SIEM و SOAR EDR, XDR, SIEM & SOAR

• تیم آبی، قرمز و بنفش Blue, Red and Purple Teaming

مبانی - لاجوردی Basics - Azure

• ویژگی های رایانش ابری Cloud Computing Properties

• انواع رایانش ابری Cloud Computing Types

• Azure Global Backbone Azure Global Backbone

• مدل مسئولیت مشترک Shared Responsibility Model

• سلسله مراتب منابع Azure Azure Resource Hierarchy

• انواع اشتراک Azure Azure Subscription Types

• Entra ID مستاجران و اشتراک های Azure Entra ID Tenants and Azure Subscriptions

اصول - اعتماد صفر و امنیت مایکروسافت Basics - Zero Trust & Microsoft Security

• اعتماد صفر چیست؟ What is Zero Trust?

• Microsoft Security Cosmos The Microsoft Security Cosmos

• دفاع در مقابل زنجیره های حمله Defending Across Attack Chains

هوش Intelligence

• هوش چیست؟ What is Intelligence?

• مشاهده کنید، جهت دهید، تصمیم بگیرید و عمل کنید Observe, Orient, Decide & Act

• چرخه هوش The Intelligence Cycle

• تجزیه و تحلیل فرضیه های رقابتی (ACH) Analysis of Competing Hypotheses (ACH)

• پروتکل چراغ راهنمایی (TLP) The Traffic Light Protocol (TLP)

• منابع اطلاعاتی Sources of Intelligence

• سطوح هوش Levels of Intelligence

اطلاعات تهدید سایبری (CTI) Cyber Threat Intelligence (CTI)

• CTI چیست؟ What is CTI?

• اطلاعات، اطلاعات تهدید و اطلاعات تهدید سایبری Intelligence, Threat Intelligence and Cyber Threat Intelligence

• تهدید چیست؟ What is a Threat?

• تهدید، آسیب پذیری و خطر Threat, Vulnerability & Risk

• دفاع آگاه از تهدید Threat-informed Defense

• تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) Tactics, Techniques & Procedures (TTPs)

• IOC و IOA IOCs and IOAs

• چرخه عمر شاخص Indicator Lifecycle

• هرم درد Pyramid of Pain

• چرخش Pivoting

• شکار تهدید Threat Hunting

• منابع CTI CTI Sources

چارچوب های مرتبط با CTI CTI-Related Frameworks

• مدل الماس Diamond Model

• زنجیره کشتار سایبری لاکهید مارتین Lockheed Martin Cyber Kill Chain

• MITER ATT&CK MITRE ATT&CK

MITER ATT&CK MITRE ATT&CK

• نگاشت ATT&CK به هرم درد Mapping ATT&CK to the Pyramid of Pain

• ماتریس ها Matrices

• تاکتیک Tactics

• تکنیک Techniques

• تکنیک های فرعی Subtechniques

• تاکتیک ها، تکنیک ها و تکنیک های فرعی Tactics, Techniques & Subtechniques

• منابع اطلاعات Data Sources

• تشخیص ها Detections

• اقدامات کاهشی Mitigations

• گروه ها Groups

• نرم افزار Software

• کمپین ها Campaigns

• روابط Relations

• صحبت کردن به یک زبان Speaking one language

• تصمیم گیری مبتنی بر تهدید Threat-Informed Decision Making

• نسخه ی نمایشی: Enterprise Matrix Demo: Enterprise Matrix

• نسخه ی نمایشی: ATT&CK Navigator Demo: ATT&CK Navigator

• تیم بنفش با ATT&CK Purple Teaming with ATT&CK

• تکامل ATT&CK Evolution of ATT&CK

بازیگران تهدید و APT Threat Actors and APTs

• بازیگران تهدید: انواع و انگیزه ها Threat Actors: Types & Motivations

• APT: Sandworm & NotPetya APT: Sandworm & NotPetya

ابزارهای CTI CTI Tools

• نسخه ی نمایشی: VirtualBox را نصب کنید Demo: Install VirtualBox

• نسخه ی نمایشی: کالی لینوکس را نصب کنید Demo: Install Kali Linux

• نسخه ی نمایشی: چیدمان صفحه کلید Kali را پیکربندی کنید Demo: Configure Kali Keyboard Layout

• نسخه ی نمایشی: whois Demo: whois

• نسخه ی نمایشی: TheHarvester Demo: TheHarvester

• نسخه ی نمایشی: پای عنکبوتی Demo: Spiderfoot

پلتفرم های CTI CTI Platforms

• نسخه ی نمایشی: ضربانی Demo: Pulsedive

• نسخه ی نمایشی: Shodan.io Demo: Shodan.io

• نسخه ی نمایشی: VirusTotal Demo: VirusTotal

هوش مصنوعی (AI) و CTI Artificial Intelligence (AI) & CTI

• LLM چیست؟ What is an LLM?

• میتر اطلس MITRE ATLAS

• نسخه ی نمایشی: ChatGPT برای CTI Demo: ChatGPT for CTI

مطالعه موردی I - MISP در Azure Case Study I - MISP on Azure

• سناریو Scenario

• اشتراک رایگان Azure شما Your Free Azure Subscription

• نسخه ی نمایشی: Azure CLI را نصب کنید Demo: Install Azure CLI

• نسخه ی نمایشی: یک گروه منابع ایجاد کنید Demo: Create a Resource Group

• نسخه ی نمایشی: یک ماشین مجازی Azure ایجاد کنید Demo: Create an Azure Virtual Machine

• نسخه ی نمایشی: MISP را روی Azure VM نصب کنید Demo: Install MISP on Azure VM

• نسخه ی نمایشی: MISP Demo: MISP

مطالعه موردی II - تحقیق APT41 با ATT&CK Case Study II - Researching APT41 with ATT&CK

• سناریو Scenario

• کمپین ها و گروه ها Campaigns & The Groups

• تاکتیک ها، تکنیک ها و تکنیک های فرعی Tactics, Techniques & Subtechniques

• تشخیص و کاهش Detections & Mitigations

• هرم درد برای کمپین Pyramid of Pain for the Campaign

مطالعه موردی III - استفاده از CTI در Microsoft Sentinel Case Study III - Leveraging CTI in Microsoft Sentinel

• سناریو Scenario

• مایکروسافت سنتینل چیست؟ What is Microsoft Sentinel?

• Sentinel به عنوان SaaS Sentinel as SaaS

• معماری سنتینل Sentinel Architecture

• پیش نیازهای استقرار Deployment Prerequisites

• تجزیه و تحلیل لاگ لاگ Azure Log Analytics

• اتصال دهنده های داده Data Connectors

• مرکز محتوا Content Hub

• منابع داده معمولی برای SIEM Typical Data Sources for a SIEM

• CTI در Sentinel CTI in Sentinel

• نسخه ی نمایشی: یک اشتراک Azure ایجاد کنید Demo: Create an Azure Subscription

• نسخه ی نمایشی: یک گروه منابع ایجاد کنید Demo: Create a Resource Group

• نسخه ی نمایشی: یک فضای کاری Log Analytics ایجاد کنید Demo: Create a Log Analytics Workspace

• نسخه ی نمایشی: یک فضای کاری Sentinel ایجاد کنید Demo: Create a Sentinel Workspace

• Sentinel RBAC Sentinel RBAC

• نسخه ی نمایشی: Sentinel RBAC Demo: Sentinel RBAC

• نسخه ی نمایشی: مرکز محتوای نگهبان Demo: Sentinel Content Hub

• نسخه ی نمایشی: وارد کردن خوراک تهدید به Sentinel Demo: Ingesting a Threat Feed into Sentinel

• نسخه ی نمایشی: تأیید ورود گزارش فید تهدید Demo: Verify Threat Feed log ingestion

• نسخه ی نمایشی: شناسه ورودی را وارد کنید Demo: Ingest Entra ID

• نسخه ی نمایشی: تأیید ورود شناسه ورود Demo: Verify Entra ID Ingestion

• نسخه ی نمایشی: CTI در Sentinel Demo: CTI in Sentinel

• نسخه ی نمایشی: ATT&CK در Sentinel Demo: ATT&CK in Sentinel

• KQL 101 KQL 101

• نسخه ی نمایشی: KQL 101 Demo: KQL 101

• نسخه ی نمایشی: شکار تهدید در Sentinel Demo: Threat Hunting in Sentinel

• نسخه ی نمایشی: شکار رویدادهای Entra ID Demo: Hunting for Entra ID Events

• قوانین تحلیلی Analytic Rules

• قوانین برنامه ریزی شده Scheduled Rules

• نسخه ی نمایشی: قوانین برنامه ریزی شده Demo: Scheduled Rules

• قوانین NRT NRT Rules

• نسخه ی نمایشی: قوانین NRT Demo: NRT Rules

• قوانین اطلاعاتی تهدید Threat Intelligence Rules

• نسخه ی نمایشی: قوانین اطلاعاتی تهدید Demo: Threat Intelligence Rules

• کتاب های بازی Playbooks

• برنامه های منطقی Azure Azure Logic Apps

• نسخه ی نمایشی: کتاب های بازی با ChatGPT Demo: Playbooks with ChatGPT

• نوت بوک Notebooks

• نوت بوک با MSTICPy Notebooks with MSTICPy

مطالعه موردی IV - ایجاد یک برنامه CTI Case Study IV - Building a CTI Program

• سناریو و اهداف Scenario & Objectives

• مراحل ساخت برنامه CTI Steps to building the CTI Program

• تعریف اهداف استراتژیک Define Strategic Goals

• نیازهای کلیدی هوش را شناسایی کنید Identify Key Intelligence Requirements

• فرآیندها و ابزارها را ایجاد کنید Establish Processes and Tools

• SecOps و DFIR مبتنی بر هوش Intelligence-Driven SecOps and DFIR

• پیشرفت مداوم Continuous Improvement

• نتیجه Conclusion

بخش پاداش Bonus Section

• جایزه Bonus