Temario del curso
Introducción y orientación del curso
- Objetivos del curso, resultados esperados y configuración del entorno de laboratorio.
- Arquitectura EDR de alto nivel y componentes de OpenEDR.
- Revisión del marco MITRE ATT&CK y fundamentos de la búsqueda de amenazas.
Despliegue de OpenEDR y recopilación de telemetría
- Instalación y configuración de los agentes de OpenEDR en puntos finales Windows.
- Componentes del servidor, canalizaciones de ingesta de datos y consideraciones de almacenamiento.
- Configuración de fuentes de telemetría, normalización de eventos y enriquecimiento de datos.
Comprensión de la telemetría del punto final y modelado de eventos
- Tipos clave de eventos en el punto final, campos y cómo se mapean a las técnicas ATT&CK.
- Filtrado de eventos, estrategias de correlación y técnicas de reducción de ruido.
- Creación de señales de detección confiables a partir de telemetría de baja fidelidad.
Mapeo de detecciones a MITRE ATT&CK
- Traducción de la telemetría en cobertura de técnicas ATT&CK y detección de vacíos.
- Uso de MITRE ATT&CK Navigator y documentación de las decisiones de mapeo.
- Priorización de técnicas para la búsqueda basada en el riesgo y la disponibilidad de telemetría.
Metodologías de búsqueda de amenazas
- Búsqueda basada en hipótesis versus investigaciones guiadas por indicadores.
- Desarrollo de guías de caza (hunt playbooks) y flujos de trabajo de descubrimiento iterativo.
- Prácticas de caza en laboratorio: identificación de patrones de movimiento lateral, persistencia y escalada de privilegios.
Ingeniería de detección y ajuste
- Diseño de reglas de detección utilizando correlación de eventos y líneas base conductuales.
- Prueba de reglas, ajuste para reducir falsos positivos y medición de la efectividad.
- Creación de firmas y contenido analítico reutilizable en todo el entorno.
Respuesta a incidentes y análisis de causa raíz con OpenEDR
- Uso de OpenEDR para triaje de alertas, investigación de incidentes y cronología de ataques.
- Recopilación de artefactos forenses, preservación de evidencias y consideraciones sobre la cadena de custodia.
- Integración de hallazgos en las guías de respuesta a incidentes (IR playbooks) y flujos de trabajo de remediación.
Automatización, orquestación e integración
- Automatización de cacias rutinarias y enriquecimiento de alertas utilizando scripts y conectores.
- Integración de OpenEDR con SIEM, plataformas SOAR y de inteligencia contra amenazas (threat intelligence).
- Escalabilidad de telemetría, retención y consideraciones operativas para despliegues empresariales.
Casos de uso avanzados y colaboración con equipos de Red Team
- Simulación del comportamiento del adversario para validación: ejercicios de equipo púrpura (purple-team) y emulación basada en ATT&CK.
- Estudios de caso: cacerías del mundo real y análisis post-incidente.
- Diseño de ciclos de mejora continua para la cobertura de detección.
Laboratorio final (Capstone) y presentaciones
- Taller guiado: cacería completa desde la hipótesis hasta el contención y el análisis de causa raíz utilizando escenarios de laboratorio.
- Presentaciones por parte de los participantes sobre hallazgos y mitigaciones recomendadas.
- Cierre del curso, distribución de materiales y próximos pasos recomendados.
Requerimientos
- Comprensión de los fundamentos de la seguridad en puntos finales (endpoint).
- Experiencia con análisis de registros y administración básica de Linux/Windows.
- Familiaridad con técnicas de ataque comunes y conceptos de respuesta a incidentes.
Público objetivo
- Analistas de centros de operaciones de seguridad (SOC).
- Cazadores de amenazas y respondedores de incidentes.
- Ingenieros de seguridad responsables de la ingeniería de detección y la telemetría.
Testimonios (2)
Claridad y ritmo de las explicaciones
Federica Galeazzi - Aethra Telecomunications SRL
Curso - AI-Powered Cybersecurity: Advanced Threat Detection & Response
Traducción Automática
El dominio que tenía el instructor acerca de todos los temas