Temario del curso
Introducción y orientación del curso
- Objetivos del curso, resultados esperados y configuración del entorno de laboratorio
- Arquitectura EDR de alto nivel y componentes de OpenEDR
- Revisión del marco MITRE ATT&CK y fundamentos de la caza de amenazas
Implementación de OpenEDR y recopilación de telemetría
- Instalación y configuración de los agentes de OpenEDR en extremos Windows
- Componentes del servidor, canales de ingesta de datos y consideraciones de almacenamiento
- Configuración de fuentes de telemetría, normalización de eventos y enriquecimiento
Comprensión de la telemetría del extremo y modelado de eventos
- Tipos de eventos clave del extremo, campos y su mapeo a técnicas ATT&CK
- Filtrado de eventos, estrategias de correlación y técnicas de reducción de ruido
- Creación de señales de detección confiables a partir de telemetría de baja fidelidad
Mapeo de detecciones a MITRE ATT&CK
- Traducción de la telemetría a cobertura de técnicas ATT&CK y vacíos de detección
- Uso de ATT&CK Navigator y documentación de las decisiones de mapeo
- Priorización de técnicas para la caza basada en el riesgo y la disponibilidad de telemetría
Metodologías de caza de amenazas
- Caza impulsada por hipótesis vs. investigaciones basadas en indicadores
- Desarrollo de playbooks de caza y flujos de trabajo de descubrimiento iterativo
- Laboratorios prácticos de caza: identificación de movimientos laterales, persistencia y patrones de escalada de privilegios
Ingeniería de detección y ajuste
- Diseño de reglas de detección utilizando correlación de eventos y líneas base conductuales
- Prueba de reglas, ajuste para reducir falsos positivos y medición de la efectividad
- Creación de firmas y contenido analítico para su reutilización en todo el entorno
Respuesta a incidentes y análisis de causa raíz con OpenEDR
- Uso de OpenEDR para priorizar alertas, investigar incidentes y construir líneas de tiempo de ataques
- Recopilación de artefactos forenses, preservación de pruebas y consideraciones sobre la cadena de custodia
- Integración de los hallazgos en playbooks de IR y flujos de trabajo de remediación
Automatización, orquestación e integración
- Automatización de caza rutinaria y enriquecimiento de alertas utilizando scripts y conectores
- Integración de OpenEDR con SIEM, SOAR y plataformas de inteligencia de amenazas
- Escalado de telemetría, retención y consideraciones operativas para implementaciones empresariales
Casos de uso avanzados y colaboración con equipos Red Team
- Simulación del comportamiento adversario para validación: ejercicios de equipo púrpura y emulación basada en ATT&CK
- Estudios de caso: cazas en el mundo real y análisis post-incidente
- Diseño de ciclos de mejora continua para la cobertura de detección
Laboratorio final (Capstone) y presentaciones
- Capstone guiado: caza completa desde la hipótesis hasta el containment y el análisis de causa raíz utilizando escenarios de laboratorio
- Presentaciones de los participantes sobre sus hallazgos y mitigaciones recomendadas
- Cierre del curso, distribución de materiales y próximos pasos recomendados
Requerimientos
- Comprensión de los fundamentos de la seguridad del extremo
- Experiencia con análisis de registros y administración básica de Linux/Windows
- Familiaridad con técnicas de ataque comunes y conceptos de respuesta a incidentes
Público objetivo
- Analistas del Centro de Operaciones de Seguridad (SOC)
- Cazadores de amenazas y respondedores de incidentes
- Ingenieros de seguridad responsables de la ingeniería de detección y telemetría
Testimonios (2)
Claridad y ritmo de las explicaciones
Federica Galeazzi - Aethra Telecomunications SRL
Curso - AI-Powered Cybersecurity: Advanced Threat Detection & Response
Traducción Automática
El dominio que tenía el instructor acerca de todos los temas