آموزش واکنش به حادثه

سرفصل ها و درس ها

مقدمه Introduction

• خوش آمدید Welcome

• مهم - مبانی IMPORTANT - Basics

• مهم - دموها IMPORTANT - Demos

• سوالات متداول FAQs

• اسلایدهای دوره Course Slides

مبانی - مرکز عملیات امنیتی (SOC) Basics - Security Operations Center (SOC)

• پیچیدگی و چالش های امنیت سایبری Complexity and Cyber Security Challenges

• SOC چیست؟ What is a SOC?

• مدل ردیف SOC SOC Tier Model

• EDR، XDR، SIEM و SOAR EDR, XDR, SIEM & SOAR

• تیم آبی، قرمز و بنفش Blue, Red & Purple Teaming

مبانی - هوش تهدید سایبری (CTI) Basics - Cyber Threat Intelligence (CTI)

• تهدید چیست؟ What is a Threat?

• اطلاعات، اطلاعات تهدید و اطلاعات تهدید سایبری (CTI) Intelligence, Threat Intelligence & Cyber Threat Intelligence (CTI)

• CTI چیست؟ What is CTI?

• تهدید، آسیب پذیری و خطر Threat, Vulnerability & Risk

• دفاع آگاهانه از تهدید Threat-Informed Defense

• تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) Tactics, Techniques & Procedures (TTPs)

• IOC و IOA IOCs & IOAs

• هرم درد Pyramid of Pain

• منابع CTI CTI Sources

مبانی - Microsoft Azure Basics - Microsoft Azure

• ویژگی های رایانش ابری Cloud Computing Properties

• انواع رایانش ابری Cloud Computing Types

• Azure Global Backbone Azure Global Backbone

• مدل مسئولیت مشترک Shared Responsibility Model

• سلسله مراتب منابع Azure Azure Resource Hierarchy

• انواع اشتراک Azure Azure Subscription Types

• Entra ID مستاجران و اشتراک های Azure Entra ID Tenants and Azure Subscriptions

مبانی - امنیت مایکروسافت Basics - Microsoft Security

• اعتماد صفر Zero Trust

• Microsoft Security Cosmos The Microsoft Security Cosmos

• دفاع در مقابل زنجیره های حمله Defending Across Attack Chains

NIST - واکنش به حادثه NIST - Incident Response

• فرآیند واکنش به حادثه NIST The NIST Incident Response Process

• آماده سازی Preparation

• تشخیص و تجزیه و تحلیل Detection and Analysis

• مهار، ریشه کنی و بازیابی Containment, Eradication and Recovery

• فعالیت پس از حادثه Post-Incident Activity

SANS - واکنش به حادثه SANS - Incident Response

• فرآیند واکنش به حادثه SANS The SANS Incident Response Process

• آماده سازی Preparation

• شناسایی Identification

• مهار Containment

• ریشه کنی Eradication

• بازیابی Recovery

• درس های آموخته شده Lessons Learned

زنجیره کشتار سایبری لاکهید مارتین (LM). Lockheed Martin (LM) Cyber Kill Chain

• LM Cyber ​​Kill Chain چیست؟ What is the LM Cyber Kill Chain?

• شناسایی Reconnaissance

• اسلحه سازی Weaponization

• تحویل Delivery

• بهره برداری Exploitation

• نصب و راه اندازی Installation

• فرمان و کنترل (C2) Command & Control (C2)

• اقدامات بر روی اهداف Actions on Objectives

پاسخ به حادثه مبتنی بر اطلاعات با MITER ATT&CK Intelligence-driven Incident Response with MITRE ATT&CK

• چرا استفاده از CTI در IR مهم است؟ Why is it important to leverage CTI in IR?

• ATT&CK چیست؟ What is ATT&CK?

• نگاشت ATT&CK به هرم درد Mapping ATT&CK to the Pyramid of Pain

• ماتریس ها Matrices

• تاکتیک Tactics

• تکنیک ها Techniques

• تکنیک های فرعی Subtechniques

• تاکتیک ها، تکنیک ها و تکنیک های فرعی Tactics, Techniques & Subtechniques

• منابع داده Data Sources

• تشخیص ها Detections

• کاهش Mitigations

• گروه ها Groups

• نرم افزار Software

• کمپین ها Campaigns

• روابط Relations

• نسخه ی نمایشی: ATT&CK Enterprise Matrix Demo: ATT&CK Enterprise Matrix

• تکامل ATT&CK Evolution of ATT&CK

پاسخ به حادثه مبتنی بر اقدامات متقابل با MITER D3F3ND Countermeasures-driven Incident Response with MITRE D3F3ND

• MITER D3F3ND چیست؟ What is MITRE D3F3ND?

• نگاشت D3FEND به هرم درد Mapping D3FEND to the Pyramid of Pain

• TTP ها در D3FEND TTPs in D3FEND

• تاکتیک Tactics

• تکنیک ها Techniques

• زیر کلاس ها Subclasses

• مصنوعات Artifacts

• نسخه ی نمایشی: MITER D3FEND Demo: MITRE D3FEND

مطالعه موردی I - ایجاد یک برنامه پاسخگویی به حوادث امنیت سایبری Case Study I - Build a Cyber Security Incident Response Program

• سناریو و اهداف Scenario & Objectives

• مراحل ساخت برنامه IR Steps to building the IR Program

• تعریف اهداف استراتژیک برای برنامه IR Define Strategic Goals for the IR Program

• الزامات کلیدی برای IR را شناسایی کنید Identify Key Requirements for IR

• فرآیندها و ابزارهایی را برای IR ایجاد کنید Establish Processes and Tools for IR

• IR مبتنی بر هوش را پیاده سازی کنید Implement Intelligence Driven IR

• بهبود مستمر برنامه IR Continuous Improvement of the IR Program

مطالعه موردی II - پاسخ به حوادث با Microsoft Sentinel: Solorigate Case Study II - Respond to Incidents with Microsoft Sentinel: Solorigate

• سناریو Scenario

• چرا SIEM برای IR مهم است؟ Why is a SIEM important for IR?

• نسخه ی نمایشی: یک اشتراک Azure ایجاد کنید Demo: Create an Azure Subscription

• مایکروسافت سنتینل چیست؟ What is Microsoft Sentinel?

• معماری سنتینل Sentinel Architecture

• پیش نیازهای استقرار Deployment Prerequisites

• تجزیه و تحلیل لاگ لاگ Azure Log Analytics

• اتصال دهنده های داده Data Connectors

• منابع داده معمولی برای SIEM Typical Data Sources for a SIEM

• Sentinel RBAC Sentinel RBAC

• نسخه ی نمایشی: مرکز محتوای نگهبان Demo: Sentinel Content Hub

• نسخه ی نمایشی: استقرار و پیکربندی Sentinel Demo: Deploy and Configure Sentinel

• نسخه ی نمایشی: رسیدگی به حادثه "Solorigate Network Beacon" Demo: Handling the incident "Solorigate Network Beacon"

پاداش Bonus

• پاداش Bonus