Contactar

Threat Analyst

Curso de Analista de amenazas

Inmersión profunda en defensa activa, respuesta rápida, APT, búsqueda de amenazas, inteligencia de amenazas y respuesta a incidentes en un SOC de próxima generación en 5 días.

llÁMENOS AHORA

932271832

ENVÍE UN EMAIL

info@cybernforce.com

Seguir leyendo

Únete a nuestra red de alumnos y obtén tu certificación

¿Qué aprenderás con nuestro curso de Amenazas? – Te lo explicamos todo en detalle

Threat Analyst enseña principios avanzados, herramientas y prácticas técnicas para una función de defensa proactiva y senior en un SOC o un equipo similar. El curso ofrece práctica en un SOC de próxima generación con la pila de tecnología moderna y procesos evolucionados, y se sumerge en aspectos prácticos de conceptos muy discutidos como XDR, respuesta rápida y automatización.

Llevará a cabo investigaciones complejas de incidentes y amenazas escaladas de nivel 2 y 3, practicará un análisis avanzado de amenazas persistentes y dedicará 3 días de capacitación de «inmersión profunda» en investigaciones de inteligencia de amenazas, búsqueda de amenazas y respuesta a incidentes. El curso cubre conceptos de defensa activa y técnicas y herramientas prácticas avanzadas que lo ayudarán a priorizar investigaciones, mejorarán la visibilidad de detección y las capacidades de monitoreo de seguridad. Esta es una capacitación avanzada y no es adecuada para los analistas de SOC que comienza su carrera. Si está buscando un curso de nivel de entrada, le recomendamos que eche un vistazo a la Capacitación para analistas asociados de SOC.

Analista de amenazas en 5 días

  • Proveedores de equipos SOC empresariales, servicios administrados y MDR que desean establecer una línea de base para sus analistas de amenazas. Analistas de SOC, analistas de MDR, analistas de amenazas, desarrolladores de contenido de amenazas, consultores de seguridad, respondedores de incidentes, ingenieros y arquitectos de seguridad, equipos rojos que se vuelven morados.

  • Se prepara para un nuevo paradigma SOC para trabajar con la pila de tecnología MDR moderna, estructura su mente para la transición hacia un rol de defensa proactivo y senior.

  • SOC de próxima generación con una plataforma de inteligencia de amenazas, plataforma de respuesta a incidentes, captura y análisis de paquetes, herramientas de automatización, CMDB, modelado de redes y activos y XDR implementados y trabajando juntos (además de 2 SIEM y un sistema de emisión de boletos SOC).

  • Domina las Técnicas y Tácticas del Atacante. Realice el modelado de redes y activos y el análisis de riesgos como base para las estrategias de ingesta de registros basadas en riesgos y la priorización de investigaciones.

  • Inmersiones profundas en MAGMA, SIGMA, Snort, Zeek, YARA. Realizar evaluaciones de detección de puntos ciegos. Mejore la visibilidad y el monitoreo de la detección.

  • Investigaciones profundas sobre eventos escalados, incidentes, análisis avanzado de amenazas persistentes.

  • 3 días completos en el departamento, capacitación práctica en investigaciones de Threat Intelligence, Threat Hunting y Respuesta a incidentes.

Programa de estudios

Día 1: de la mentalidad al conjunto de herramientas

Su título va aquí

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Módulo 1: Preparando el escenario: el SOC y el analista de amenazas

Este módulo ofrece a los estudiantes una visión estratégica de un SOC actual (Conocido como Next Generation SOC y últimamente, MDR), las diferentes formas en que se puede estructurar y las acciones para ejecutar y mejorar continuamente un SOC escalable y efectivo. Los estudiantes obtendrán la mentalidad para trabajar en un MDR SOC considerando la tecnología, los procesos, los roles, las tareas, los servicios y trabajarán en un caso de negocios, donde se les asigna tareas de procesamiento dentro de un SOC virtual a través de ITSM en un «Capture the Flag» formato. Se les pedirá que identifiquen los impulsores comerciales y los clientes, los roles y las responsabilidades del SOC, utilicen componentes y tecnologías de MDR para cumplir la misión del SOC y crear métricas SOC relevantes.

1.1. Evolución de los Servicios SOC a MDR y el impacto en el rol de Threat Analyst

  • SOC en la nube
  • SOC local
  • SOC estratégico

1.2. Operaciones de servicio de MDR

  • Gestión de servicios ITIL
  • Modelado de amenazas
  • Análisis de amenazas
  • Caza de amenazas
  • Inteligencia de amenazas
  • Cree y mejore los casos de uso de monitoreo de seguridad y detección de amenazas
  • Realizar evaluaciones de detección de puntos ciegos
  • Automatice los procesos SOC
  • Responda rápidamente a los incidentes

1.3. Negocio

  • Nuevos conductores
  • Clientes
  • Nueva gobernanza
  • Nueva regulación de privacidad
  • Métricas de SOC

1.4. Gente

  • Nuevos roles y jerarquía
  • Capacitación
  • Conocimiento administrativo
  • SOC Progresión profesional
  • Evaluación del equipo SOC

Frameworks, mejores prácticas para este módulo (Práctica):

Modelo de madurez de SOC, Modelo de implementación de SOC, Biblioteca de métricas de resiliencia cibernética, NIST NICE

Módulo 2 - Conjunto de herramientas clave de Threat Analyst: Introducción al SOC virtual de SECO

Este módulo presenta a los estudiantes el SOC virtual en el que trabajarán a lo largo del curso y cómo las diversas herramientas y tecnologías implementadas funcionan juntas. A lo largo del módulo, los estudiantes trabajarán en un caso de negocios, donde se les asigna procesar algunas tareas.

2.1. ITSM y CMDB (Manos a la obra)

2.2. Sistema de emisión de boletos SOC (práctico)

2.3. SIEM (Manos a la obra)

2.4. Plataforma de inteligencia de amenazas (Hands on)

2.5. Captura y análisis de paquetes

2.6. Herramientas de automatización

2.7. Herramienta de respuesta a incidentes

2.8. Herramienta y scripts de automatización de seguridad

2.1. ITSM

2.2. Sistema de emisión de boletos SOC

2.3. SIEM (Elástico y Splunk)

2.4. La mentalidad de un analista de seguridad: introducción

2.5. Manos a la obra: ejercicio usando todo lo anterior

Día 2: establecer el escenario y el siguiente nivel de análisis de amenazas

Su título va aquí

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Módulo 3 - Modelado de infraestructura, análisis de riesgos, detección de puntos ciegos

Este módulo comienza con un ejercicio de modelado de redes y activos y análisis de riesgos. Los estudiantes modelarán la red que se les asignó para monitorear y proteger en nuestro SOC virtual; etiquetar, clasificar y documentar los activos usando el módulo CMDB en su ITSM y realizar análisis de riesgo en esos activos. Crearán estrategias de ingestión de registros para configurar la mejor visibilidad para detectar ataques cibernéticos y realizarán evaluaciones de detección para ayudar a encontrar puntos ciegos de detección. Los estudiantes incorporarán varios tipos de registros en las instancias de SIEM para permitir búsquedas e investigaciones rápidas de eventos y configurar módulos de ITSM para definir servicios SOC.

3.1. Modelado de redes, modelado de activos, análisis de riesgos (práctico)

3.2. Registro, orígenes de registros, ingesta de registros (práctica)

3.3. Evaluación de detección de puntos ciegos (práctica)

3.4. ITSM y definición de Servicios SOC conforme a ITIL (Hands-on)

Módulo 4 - Tácticas y técnicas del atacante en profundidad

Si bien se espera que los analistas de SOC junior y medio tengan un conocimiento profundo de las técnicas de ataque, ¡el analista de amenazas debe dominarlas! Este módulo profundiza en MITRE ATTACK&CK Framework al comprender los diferentes entornos, sus navegadores, sus tácticas y técnicas asociadas y cómo trabajar con ellos al mismo tiempo que Cyber ​​Kill Chain. Los estudiantes integrarán y aplicarán este conocimiento durante el transcurso de la capacitación.

4.1. Marco MITRE ATTACK&CK (práctico)

4.2. Navegador MITRE ATTACK&CK (práctico)

4.3. Cyber ​​Kill Chain (práctico)

Módulo 5: análisis avanzado de amenazas

Los módulos 3 y 4 han preparado el escenario para investigaciones profundas sobre amenazas e incidentes intensificados. Aquí es donde empezamos a confundir un poco a los estudiantes, empujando sus límites para activar su cerebro analítico, despertar su curiosidad y usar su creatividad durante las investigaciones. El módulo se entrega en un formato Capture the Flag que replica el lugar de trabajo real tanto como sea posible: los estudiantes trabajarán en entornos Splunk y Elastic SIEM con fines de investigación, correlación, alerta, escalamiento e informes; obtenga asignaciones en un sistema ITSM virtual como en un SOC real e interactúe con sus compañeros de SOC en las actividades de investigación, escalamiento y entrega. Las secciones prácticas se preparan para una tarea compleja que recibirán el día 3.

5.1. Splunk y Elastic SIEM (práctico)

5.2. Análisis de amenazas, correlación y técnicas de ataque (prácticas)

5.3. Alertas, informes, tableros y escalamiento (práctico)

Día 3: agregando algo de inteligencia al sabor

Su título va aquí

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Módulo 6: casos de uso de inteligencia y detección de amenazas

Los estudiantes crearán casos de uso de monitoreo de seguridad y detección de amenazas en entornos Splunk y Elastic y usarán MaGMA UCF para medir, mantener, mejorar, escalar y administrar la biblioteca de casos de uso SOC. Analizarán la estructura de las Reglas SIGMA y crearán, mantendrán, escalarán y mejorarán sus propias reglas. Se sumergirán en el proceso de inteligencia de amenazas y lo utilizarán en un escenario de caso real para el conocimiento de la situación y la investigación y detección de amenazas utilizando una plataforma de inteligencia de amenazas (MISP) real. Estas investigaciones se extienden al fascinante mundo de la Dark Web con fines de Threat Intelligence. Durante la práctica, los estudiantes descubrirán, compartirán, almacenarán y correlacionarán indicadores de compromiso de ataques dirigidos, información de fraude financiero, información de vulnerabilidad y actores de amenazas.

6.1. MITRE ATTACK&CK aplicado a la monitorización, detección e inteligencia de amenazas

6.2. Casos de uso de monitoreo de seguridad y detección de amenazas (práctico)

  • Monitoreo de seguridad
  • Detección de amenazas
  • Desarrollo de casos de uso
  • MaGMA UCF

6.3. Reglas SIGMA (prácticas)

6.4. Inteligencia de amenazas (práctica)

  • Tipos
  • protocolos
  • Estándares
  • Feeds
  • Plataformas
  • STIX/TAXII/OpenIoC

6.5. Inteligencia de amenazas en la web oscura (práctica)

Frameworks, mejores prácticas para este módulo (Práctica):

  • Actores de amenazas CSAN
  • Estándares y protocolos de inteligencia de amenazas
  • Pirámide del Dolor y TTP’s
  • Cyber ​​Kill Chain frente a MITRE ATT&CK
  • Bucle OODA Modelo Diamond de análisis de intrusión
  • Regla de la casa de Chatham.
  • Herramienta MaGMa y MaGMa UCF
  • PSIM
  • NIZA NIZA

Día 4: caza como un ninja, defiende como un samurái

Su título va aquí

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Módulo 7 - Caza de amenazas y defensa

El módulo 4 comienza con TTP y MITRE ATT&CK Framework en profundidad. Los estudiantes recopilarán IoC y estructurarán una campaña completa de caza de amenazas, donde crearán su propia hipótesis y confirmarán o descartarán después de poder correlacionar eventos cruzados y determinar su contexto, e identificar y cuantificar vulnerabilidades basadas en Splunk, Elastic y MISP. Los estudiantes realizarán un seguimiento y documentarán todo el proceso a través de su herramienta ITSM, tal como lo hacen los SOC de próxima generación. Una vez que se cazan las amenazas, los estudiantes crearán sus propias reglas para compartir e informar los resultados de sus tareas. Finalmente, después de un análisis en profundidad, traducirán sus hallazgos técnicos a un resumen de gestión y realizarán una presentación a nivel de directorio.

7.1. Pirámide del dolor (práctica)

7.2. TTP (práctico)

7.3. Metodologías de caza de amenazas (prácticas)

  • Marco de caza de ciberamenazas
  • Tahití
  • El circuito de caza

7.4. La matriz de caza (práctica)

7.5. La cadena de defensa

7.6. Comentarios de detección

7.7. Defensa de persistencia avanzada

7.8. Reglas de Snort/Zeek (Práctica)

Marcos, mejores prácticas, referencias para este módulo:

  • Estándares y protocolos de inteligencia de amenazas
  • Pirámide del dolor y The Hunt Loop
  • Cyber ​​Kill Chain frente a MITRE ATT&CK Framework
  • La cadena de defensa
  • Bucle OODA, modelo Diamond de análisis de intrusión
  • Herramienta MaGMa, MaGMa UCF
  • PSIM
  • NIZA NIZA

Día 5 – Departamento de Asuntos Escalados

Su título va aquí

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Módulo 8 - Respuesta a incidentes

Nuestro último módulo está dirigido por el modelo PCERL de Respuesta a Incidentes y la Guía de Manejo de Incidentes de Seguridad Informática del NIST. Evalúa las políticas que rigen la respuesta a incidentes, los planes de respuesta a incidentes, los procedimientos requeridos y las herramientas y tecnologías que necesitan para manejar un incidente. A partir de ahí, el proceso de respuesta a incidentes y las actividades se practican con 2 ejercicios en los que se asignará a los estudiantes la herramienta ITSM para gestionar un incidente desde la preparación hasta la evaluación posterior al incidente. La sección práctica utiliza una plataforma que proporciona infraestructura y herramientas de seguridad de la información impulsadas por endpoints para ayudarlos a investigar, procesar y liderar la respuesta a incidentes en nuestro SOC virtual. Los ejercicios prácticos preparan a los estudiantes para una tarea compleja que formará parte del examen.

8.1. Fase de preparación (práctica)

  • Políticas
  • Plan de RI
  • procedimientos de IR
  • Libros de jugadas

8.2. Identificación/Detección (práctica)

  • Análisis de memoria
  • Análisis de disco
  • Análisis de Malware (YARA)
  • Análisis de red

8.3. Contención

  • Sistemas
  • La red
  • Usuarios
  • Servicios
  • Nube

8.4. Erradicación

  • Sistemas
  • La red
  • Usuarios
  • Servicios
  • Nube

8.5. Recuperación

  • Sistemas
  • Datos

8.6. Lecciones aprendidas (prácticas)

8.7. Difusión y Concientización de Seguridad

Recoge tu insignia de honor

Su título va aquí

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Examen

1. Asignación de tarea en formato CTF

La sección práctica del último día de capacitación lo prepara para una tarea compleja y práctica en un formato de Capture the Flag que formará parte de su examen y certificación. Debe finalizar su tarea antes de poder programar su examen.

2. examen

  • Idioma: inglés
  • Entregado: en línea a través de un supervisor certificado
  • Preguntas: 40 opciones múltiples (5 preguntas relacionadas con su tarea CTF)
  • Tiempo: 60 minutos

Inscríbete u organiza una clase presencial