聯繫我們

課程簡介

導論與課程導覽

  • 課程目標、預期成果與實驗室環境設定
  • 高階 EDR 架構與 OpenEDR 元件介紹
  • MITRE ATT&CK 框架回顧與威脅狩獵基本原理

OpenEDR 部署與遙測資料蒐集

  • 在 Windows 端點上安裝與配置 OpenEDR 代理程式
  • 伺服器元件、資料匯入管道與儲存考量
  • 配置遙測來源、事件正規化與豐富化

理解端點遙測資料與事件建模

  • 關鍵端點事件類型、欄位及其如何對應至 ATT&CK 技術
  • 事件篩選、關聯策略與雜訊減少技術
  • 從低精確度遙測資料建立可靠的偵測訊號

將偵測內容對應至 MITRE ATT&CK

  • 將遙測資料轉譯為 ATT&CK 技術覆蓋範圍與偵測缺口
  • 使用 ATT&CK Navigator 並記錄對應決策
  • 根據風險與遙測資料可用性優先排序狩獵技術

威脅狩獵方法論

  • 假設導向狩獵 vs. 指標導向調查
  • 狩獵計畫書開發與迭代式探索工作流程
  • 實作狩獵實驗室:識別橫向移動、持久化與權限提升模式

偵測工程與調校

  • 利用事件關聯與行為基準設計偵測規則
  • 規則測試、調校以減少誤報,並衡量有效性
  • 建立可於環境中重複使用的簽章與分析內容

事件回應與 OpenEDR 根本原因分析

  • 使用 OpenEDR 進行警報分流、事件調查與攻擊時間軸還原
  • 法醫 artifact 蒐集、證據保存與保管鏈考量
  • 將發現結果整合至 IR 計畫書與補強工作流程

自動化、編排與整合

  • 利用腳本與連接器自動化日常狩獵與警報豐富化
  • 將 OpenEDR 整合至 SIEM、SOAR 與威脅情報平台
  • 擴展企業部署的遙測資料、保留期與營運考量

進階應用案例與紅隊協作

  • 模擬敵對行為以進行驗證:紫隊演練與基於 ATT&CK 的模擬
  • 案例研究:真實世界的狩獵經驗與事後分析
  • 設計偵測覆蓋範圍的持續改進循環

總結實驗室與簡報

  • 引導式總結專案:從假設到Containment 與根本原因分析的完整狩獵流程,使用實驗室情境
  • 學員簡報發現結果與建議補強措施
  • 課程總結、教材發放與建議的後續步驟

最低要求

  • 理解端點安全基本原理
  • 具備日誌分析與基本 Linux/Windows 管理經驗
  • 熟悉常見攻擊技術與事件回應概念

受眾

  • 安全運營中心(SOC)分析師
  • 威脅狩獵專家與事件回應人員
  • 負責偵測工程與遙測資料的安全工程師
 21 小時

客戶評論 (2)

課程分類