Temario del curso
Introducción y orientación del curso
- Objetivos del curso, resultados esperados y configuración del entorno de laboratorio
- Arquitectura de alto nivel de EDR y componentes de OpenEDR
- Revisión del marco MITRE ATT&CK y fundamentos de la caza de amenazas
Despliegue de OpenEDR y recopilación de telemetría
- Instalación y configuración de los agentes de OpenEDR en endpoints Windows
- Componentes del servidor, canalizaciones de ingestión de datos y consideraciones de almacenamiento
- Configuración de fuentes de telemetría, normalización de eventos y enriquecimiento de datos
Comprensión de la telemetría del endpoint y modelado de eventos
- Tipos clave de eventos del endpoint, campos y cómo se mapean a las técnicas de ATT&CK
- Filtrado de eventos, estrategias de correlación y técnicas de reducción de ruido
- Creación de señales de detección confiables a partir de telemetría de baja fidelidad
Mapeo de detecciones a MITRE ATT&CK
- Traducción de la telemetría en cobertura de técnicas ATT&CK e identificación de brechas de detección
- Uso de ATT&CK Navigator y documentación de las decisiones de mapeo
- Priorización de técnicas para la caza basándose en el riesgo y la disponibilidad de telemetría
Metodologías de caza de amenazas
- Caza basada en hipótesis frente a investigaciones guiadas por indicadores
- Desarrollo de libros de jugada para la caza y flujos de trabajo de descubrimiento iterativo
- Prácticas de caca en laboratorio: identificación de patrones de movimiento lateral, persistencia y escalada de privilegios
Ingeniería de detección y ajuste (tuning)
- Diseño de reglas de detección utilizando correlación de eventos y lineamientos conductuales
- Prueba y ajuste de reglas para reducir falsos positivos, y medición de la efectividad
- Creación de firmas y contenido analítico reutilizable en todo el entorno
Respuesta a incidentes y análisis de causa raíz con OpenEDR
- Uso de OpenEDR para la triaje de alertas, investigación de incidentes y creación de líneas de tiempo de ataques
- Recopilación de artefactos forenses, preservación de evidencia y consideraciones sobre la cadena de custodia
- Integración de hallazgos en los libros de jugada de IR (Respuesta a Incidentes) y flujos de trabajo de remediación
Automatización, orquestación e integración
- Automatización de cacerías rutinarias y enriquecimiento de alertas mediante scripts y conectores
- Integración de OpenEDR con SIEM, SOAR y plataformas de inteligencia sobre amenazas
- Escalado de telemetría, retención de datos y consideraciones operativas para despliegues empresariales
Casos de uso avanzados y colaboración con equipos ofensivos (Red Team)
- Simulación de comportamiento adversario para validación: ejercicios de equipo morado y emulación basada en ATT&CK
- Estudios de caso: cacerías del mundo real y análisis posteriores a incidentes
- Diseño de ciclos de mejora continua para la cobertura de detección
Laboratorio final y presentaciones
- Laboratorio final guiado: cacería completa desde la hipótesis hasta el aislamiento y análisis de causa raíz utilizando escenarios del laboratorio
- Presentaciones de los participantes sobre sus hallazgos y mitigaciones recomendadas
- Cierre del curso, distribución de materiales y próximos pasos recomendados
Requerimientos
- Comprensión de los fundamentos de la seguridad en endpoints
- Experiencia con análisis de registros y administración básica de Linux/Windows
- Familiaridad con técnicas de ataque comunes y conceptos de respuesta a incidentes
Público objetivo
- Analistas del Centro de Operaciones de Seguridad (SOC)
- Cazadores de amenazas y respondedores de incidentes
- Ingenieros de seguridad responsables de la ingeniería de detección y telemetría
Testimonios (2)
Claridad y ritmo de las explicaciones
Federica Galeazzi - Aethra Telecomunications SRL
Curso - AI-Powered Cybersecurity: Advanced Threat Detection & Response
Traducción Automática
El dominio que tenía el instructor acerca de todos los temas