EnCase Cybersecurity e EnCase Analytics

Programa

Dia 1

• Introdução ao EnCase Cybersecurity, EnCase Analytics, os formandos aprenderão neste curso:
  • Como o EnCase Cybersecurity e o EnCase Analytics beneficiam as Corporações e agências governamentais
  • Objectivos do curso
  • Tendências actuais no EnCase Cybersecurity
  • Como o EnCase Cybersecurity e o EnCase Analytics trabalham dentro da infraestructura de segurança
• Debater os components do programa do EnCase Cybersecurity:
  • Explicação e definição dos componentes incluídos
  • Terminologia EnCase Cybersecurity
  • A infraestructura do EnCase Cybersecurity
• Aprender a usar o EnCase Cybersecurity para fazer uma investigação com ligações à base de dados.
• Compreender o planeamento e metedologia necessária para a resposta a incidentes de rede.
• Aprender como usar a tecnologia Snapshot para criar trabalhos de recolha Snapshot e como analisar os resultados voláteis de evidência incluíndo:
  • Processos em execução
  • Portos abertos
  • Ficheiros abertos
  • Valores de Registro
  • Usuários conectados
• Conduzir um exercício prático usando o using Snapshot para responder a um alerta de uma possível infecção BotNet.

Dia 2

• Aprender acerca do propósito e função do perfil do sistema e modo de análise.
  • Os formandos irão criar um perfil a partir de uma lista branca de um conjunto de hashes “construção de ouro” que representa uma instalação limpa de uma máquina padrão no ambiente, incluindo tanto o estático (sistema de arquivos) como o dinâmico (execução de aplicativos e serviços) .
  • Os formandos irão também criar uma lista negra de malware conhecido.
• Analisar os resultados do perfil de sistema e analisar e preparar relatório das descobertas.
• Aprender como utilizar o sistema de perfil e analisar os módulos para a identificação da lista branca para excluir rapidamente todos os ficheiros bons conhecidos e processos de uma lista branca (e identificar qualquer mau conhecido) de uma gama de pontos finais.
• Participar num exercício prático para identificar ficheiros maus e conhecidos e ficheiros suspeitos numa máquina usando o perfil de sistema e análise de módulo.
• Aprender como usar um modulo de registo de procura para ver chaves de registo num sistema remoto.
• Aprender como usar recursos na internet e ferramentas grátis para identificar binários desconhecidos.
• Aprender todos os aspectos de como utilizar o módulo “Entropy Near-Match Analyzer”:
  • Como encontrar alguma correspondência exacta ou próxima para executar processos ocultos.
  • Como definir e identificar códigos polimórficos e metamórficos.
  • Definir e compreender a entropia
  • Compreender o uso e função dos trabalhos de coleta da Entropia
  • Criar trabalhos de análise de quase correspondência de Entropia
  • Acrescentar conjuntos de Entropia a um trabalho existente
  • Criar e interpretar relatórios
  • Conduzir um exercício prático numa máquina comprometida
• Uma vez identificadas todas as interações do malware polimórfico, os formandos irão retificar os ficheiros associados, recuperando sistemas da ameaça antes que tenha a hipótese de agir
• Uma vez completada, os formandos irão acrescentar hash e valores de entropia ao malware recentemente descoberto ao perfil de sistema e a configuração de entropia para assegurar que o malware ou variação do malwarenão é reintroduzido na rede
• Aprender como identificar e relatar potenciais derramamentos de informações de identificação pessoais
• Aprender acerca dos artefactos de Internet e como usar os módulos de artefactos da Internet para recolher o histórico de websites visitados das máquinas identificadas como alvo e produzir relatórios
• Aprender acerca do “EnCase Cybersecurity Enterprise Service Bus (ESB)” e a habilidade de integração com os melhores produtos de segurança para automatizar a resposta a incidentes

Dia 3

• Aprender como analisar o relatório em potenciais derramamentos de informações de identificação pessoais e exportar os descobrimentos para investigação e remediação adicionais
• Aprender acerca do “EnCase Cybersecurity Enterprise Service Bus (ESB)” e a habilidade de integração com os melhores produtos de segurança para automatizar a resposnta a incidentes
• Introdução ao EnCase Analytics:
  • Como o EnCase Analytics beneficia as corporações e agências governamentais
  • Como o EnCase Analytics trabalha dentro da infraestructura de segurança
• Examinar os componentes do programa EnCase Analytics:
  • Explicação e definição dos componentes incluídos
  • A infraestructura do EnCase Analytics
• Aprender como executar trabalhos no EnCase Analytics para uma avaliação proactiva da integridade do sistema
• Aprender como utilizar os relatórios incluídos para a análise do EnCase Analytics e recursos para criar relatórios personalizados
• Introdução aos conceitos de auditoria de dados, aplicação de políticas e ganhar um entendimento da sua importância
• Aprender como criar um trabalho de coleção que irá pesquisar meios de comunicação suspeitos para perfis de usuário:
  • Como criar uma condição, estabelecer prioridades e operadores, adicionar filtros ,critérios e alterar a lógica dentro da condição
  • Os formandos irão conduzir um exercício prático para testar o seu critério contra a evidência ao vivo para determinar o critério mais eficaz que podem aconselhar às partes interessadas para aprovar uma coleção de auditoria e revisão
• Aprender acerca dos muitos repositórios de dados (fontes e alvos que o EnCase Cybersecurity é capaz de auditar)

Dia 4

• Aprender como hashes de arquivos correspondentes, conjuntos de palavras chave e condições são usadas para restringir e controlar a coleção de auditoria
• Aprender como criar e implementar ficheiros compostos e condições Snapshot
• Aprender como fazer auditoria de dados a grande escalda, conectar a máquinas e conduzir buscas de acordo com critérios específicos, arquivos correspondentes de hashes e palavras chave
  • Explicação detalhada do EnCase Cybersecurity interface de auditoria
  • Como definer fontes de dados
  • Identificar alvos e custódias e importar as listas de custódias
  • Como definir o critério
  • Usar o Examiner Service para um trabalho de coleta ou processamento
  • Os formandos irão participar numa discussão detalhada em fontes de dados adicionais e alvos dentro do EnCase Cybersecurity tais como: servidores de e-mail
• Saber como auditar servidores e arquivos para mensagens de email relevantes, anexos e outros dados
• Aprender como criar tarefas de correcção, que podem ser usadas para arquivar e em seguida excluir (limpar) com segurança os arquivos segmentados
• Criar documentação e relatórios