Siber Tehdit Avcılığı

Siber Tehdit Avcılığı

Threat Hunting Professional (THP), çevrenizdeki tehditleri (ağlar ve uç noktalar) proaktif olarak avlamak için bilgi ve beceri sağlayan çevrimiçi, kendi hızınızda bir eğitim kursudur. THP, çeşitli saldırı tekniklerini avlamak için farklı ve modern av stratejileri kullanarak bir av zihniyeti geliştirmeniz için sizi eğitecektir. THP ayrıca kurs materyallerine ömür boyu erişim ve tehdit avcılığı konusunda en gelişmiş sanal laboratuvarlara esnek erişim ile birlikte gelir.

Son Derece Uygulamalı

Çeşitli araçlar ve teknikler kullanarak farklı tehditler için avlanmayı deneyin. THP, Ağ Güvenliği konusunda en gelişmiş sanal laboratuvarı içerir: Hera Lab.

Bir Bakışta Kurs

• Proaktif bir savunma zihniyeti oluşturun
• Kuruluşunuzun sistemlerindeki ve ağındaki tehditleri araştırın
• Bilinen ve bilinmeyen tehditleri avlamak için tehdit istihbaratı veya hipotezler kullanın
• Ağ trafiğini inceleyin ve içindeki anormal etkinliği belirleyin
• Bellek içi kötü amaçlı yazılımı tanımlamak için Redline, Volatility ve çeşitli araçları kullanarak memory forensics gerçekleştirin
• Olay günlüklerini toplamak için Sysmon ve SilkETW gibi araçları kullanın
• AMSI bypass’ları, COM Hijacking ve sofistike zararlı yazılım kaçırma gibi gelişmiş saldırı tekniklerini tespit edin
• Windows olaylarını analiz etmek ve DCSync, Kerberoasting, gizlenmiş PowerShell komutları gibi saldırıları tespit etmek için PowerShell, ELK ve Splunk gibi araçları kullanın
• Özel forumlara erişim

Ders Materyali

HQ video eğitim materyali

Etkileşimli slaytlar

Sektör lideri sanal laboratuvarlarımızda karşılaşılan zorluklar

Kurs Teslimi

HTML5, PDF, MP4

Çevrimdışı erişim mevcut

PC, Tablet ve Akıllı Telefondan Erişim

Müfredat

Bölüm : Tehdit Avcılığı

Modül 1 : Tehdit Avcılığına Giriş

Bu modülde, tehdit avcılığı dünyasına ilk dalışınızı yapacak ve tehdit avcılığının ne olduğunu ve ne olmadığını öğreneceksiniz. Ayrıca tehdit avcılığının olay yanıtı ve risk değerlendirmeleri ile nasıl ilişkili olduğunu da öğreneceksiniz.

Modül 2 : Tehdit Avcılığı Terminolojisi

Bu modül çeşitli tehdit arama terimlerini tanıtmaktadır. Avlar sırasında çoğunlukla tehdit istihbaratına dayanan bir zihniyete sahip olmak ve avlar sırasında dijital adli tıp tekniklerini ve eserleri kullanan bir zihniyete sahip olmayı nasıl ayırt edeceğinizi öğreneceksiniz.

Modül 3 : Tehdit İstihbaratı

Bu modülde, tehdit istihbarat raporlarının nasıl elde edileceğini ve avlar sırasında kullanabileceğiniz araştırmalarla ilgili en son bilgileri kapsayarak tehdit istihbaratından yararlanacağız. Ayrıca farklı tehdit paylaşım platformlarını ve değişimlerini de ele alacağız. Son olarak, Redline ve Yara kullanarak avlarınızda bunları nasıl oluşturacağınızı ve kullanacağınızı öğreneceğiniz Uzlaşma Göstergelerine (Indicators of Compromise – IOC’s) bakacağız.

Modül 4 : Tehdit Avcılığı Hipotezi

Kısa bir plan olmadan avlanmaya başlamanız beklenmeyecek. Bu modülde, MITRE ATT&CK çerçevesi ve başarılı avlar yapabilmek için gereken veri toplama ve analizini öğreneceksiniz. Ayrıca, bir avı başlatmak için önerilen adımlar ve 5 adımlık bir süreçte hipotezlerin nasıl oluşturulacağı ve bu tahminlere dayanan avlar hakkında bilgi edineceksiniz. Son olarak, bir kuruluştaki avcılık faaliyetlerini değerlendirmek için kullanabileceğiniz avcılık metriklerini ele alacağız.

Bölüm : Ağ Avcılığı : Ağ Analizi

Modül 1 : Ağ Avcılığına Giriş

Bu modülde, bir temel olarak ağ temellerinin yanı sıra TCP/IP yığını, paketler, protokoller, ağ ekipmanı ve ağ trafiğini denetlemek için gerekli araçları ele alacağız.

Modül 2 : Şüpheli Trafik Avcılığı

Bu modülde, her protokole ayrı ayrı bakacağız. Belirli bir protokol için neyin normal olduğuna ve belirli bir protokol için neyin normal olmadığına bakacağız, bu da protokolün kötü amaçlarla kötüye kullanılmasını belirlememize yardımcı olacaktır.

Modül 3 : Web Shell Avcılığı

Bu modülde, çeşitli yaygın ve nadir web shell’lere bakacağız. Ayrıca, ortamlarımızdaki web shell’lerini avlamak için bize yardımcı olacak Loki gibi araçlara ve tekniklere bakacağız.

Bölüm: Endpoint Avcılığı : Endpoint Analizi

Modül 1 : Endpoint Avcılığına Giriş

Bu modülde, temel Windows işlemlerine bakacağız. Bu süreçlerin normal davranışlarına ve sürecin haksız faaliyetleri gizlemek için ne zaman yanlış kullanıldığına dair göstergelere bakacağız. Ayrıca, belirli bir sistemdeki değişiklikleri işaretlemek için kullanabileceğimiz taban çizgilerinin önemi de ele alınmıştır.

Modül 2 : Kötü Amaçlı Yazılımlara Genel Bakış

Bu modülde kötü amaçlı yazılımlara bakacağız. Kötü amaçlı yazılımların farklı sınıflandırmalarını ve kötü amaçlı yazılımların sistemlerimize bulaşmak için farklı teknikleri nasıl kullandığını tartışacağız; ek olarak, kötü amaçlı yazılımların tespitlerden nasıl kaçınmaya ve kalıcı olmaya çalıştığını inceleyeceğiz.

Modül 3 : Kötü Amaçlı Yazılım Avcılığı

Bu modülde, saldırı araçlarının bellek yapılarını belirlemek ve bellek içi kötü amaçlı yazılımları avlamak için av araçlarına, bellek analizine ve Redline ve Volatility gibi farklı araçların nasıl kullanılacağına bakacağız ve tartışacağız. Belirli enjeksiyon tekniklerine dalacağız ve bunları tanımlamak için birden fazla bellek avlama tekniğini kullanacağız.

Modül 4 : Event IDs, Logging, SIEMs

Bu modülde, olay günlüklerine bakacağız. Ortamınızdaki belirli etkinlikleri algılamak için izlenecek önemli olay kimliklerinin yanı sıra olay günlüklerinin neler olduğunu tartışacağız. Geleneksel Windows günlükleme yeteneklerini geliştirmek için Sysmon ve PowerShell günlük kaydı gibi araçlara da bakacağız. Ayrıca, yönetilmeyen PowerShell, COM Hijacking ve .NET kötü amaçlı yazılımları gibi gelişmiş teknikleri tartışacağız ve bunları araştıracağız. Son olarak, avlar sırasında bize yardımcı olmak için ELK yığını ve Splunk gibi araçları nasıl kullanabileceğimize bakacağız.

Modül 5 : PowerShell İle Avcılık

Bu modülde, avlanma sırasında PowerShell’in nasıl kullanılacağını tartışacağız, ayrıca büyük ölçüde olay yanıtı ve tehdit avı için özel olarak oluşturulmuş mevcut bazı PowerShell çerçevelerine bakacağız. Ayrıca, otomatik algılama olanakları sunan Microsoft Advanced Threat Analytics (Microsoft Gelişmiş Tehdit Analizi) ve Azure Advanced Threat Protection (Azure Gelişmiş Tehdit Koruması)’na bakacağız.

Ön Koşul

• Bilgisayar ağlarının sağlam bir şekilde anlaşılması: anahtarlar, yönlendirme, güvenlik cihazları, yaygın ağ protokolleri, vb. (Önerilir)
• BT güvenliği konularının orta düzeyde anlaşılması
• Sızma testi araç ve yöntemlerinin orta ila ileri düzeyde anlaşılması. (Öneri: IHRP kursu)

Bu Eğitime Kimler Katılabilir

• Güvenlik Operasyon Merkezi analistleri ve mühendisleri
• Sızma testi/kırmızı takım üyeleri
• Ağ güvenlik mühendisleri
• Olay müdahale ekibi üyeleri
• Bilgi güvenliği danışmanları ve BT denetçileri
• Tehdit avcılığı ekiplerinin ve istihbarat yeteneklerinin nasıl oluşturulacağını anlamak isteyen yöneticiler

Labs

THP kursu, 27 uygulamalı laboratuvar içeren pratik tabanlı bir müfredattır. IT Security’nin en gelişmiş sanal laboratuarı olan Hera Lab ile entegre olan bu ürün, eşsiz bir pratik öğrenme deneyimi sunuyor. Hera, platformda bulunan gerçek dünya ağ senaryolarının her birine tamamen izole edilmiş öğrenci başına erişim sağlayan tek sanal laboratuvardır. Öğrenciler Hera Lab’a VPN aracılığıyla her yerden erişebilirler. Modüllere birçok uygulamalı laboratuvar eşlik edecektir.

Lab 1 : IoC’lerle Avcılık – ISAC’nizdeki başka bir kuruluş, güvenlik ekibinizle kötü amaçlı bir ikili paylaştı. Bu kötü amaçlı yazılımın tehdit avcılarından biri tarafından tespit edildiğini belirttiler. Kötü amaçlı yazılım, kendisini bir PDF dosyası olarak gizleyerek kuruluş içindeki çeşitli ağ paylaşımlarının içinde bulundu. Yöneticiniz, bu kötü amaçlı yazılım için ağı taramak üzere bir IOC ve YARA kuralı oluşturmayla görevlendirildi.

Lab 2 : Insider’ları Avlama Bölüm 1 – Haftalık bir av programına yerleştirilirsiniz. Hipotez tabanlı avcılık kullanarak içeriden gelen tehdit etkinliği için avlanmak istersiniz. Çeşitli alt ağlardan ağ trafiğini yakalamaya karar verdiniz. Bazı günlük PCAP dosyalarını gözden geçirmeniz istenir.

Lab 3 : Insider’ları Avlama Bölüm 2 – Sen ve Charles birkaç gün önce ağda 2 haydut makinenin olduğunun farkındasınız. Yönetim ile konuştuktan sonra, siz ve Charles onları ağda bir dahaki sefere bulduğunuzda tehditleri tamamen ortadan kaldırmak yerine izlemenize izin vermeye ikna ediyorsunuz çünkü kötü niyetli içericiler gibi görünen bu tehdit aktörleri hakkında daha fazla bilgi edinmeniz gerekiyor. Birden fazla IOC’niz var ve ağda bu kötü amaçlı yazılımın herhangi bir kanıtı olup olmadığını görmek için tam paket yakalamaları yapıyorsunuz. Artık zekaya dayalı avlanıyorsunuz, ancak bir düşmanın yöntemlerini değiştirebileceğini unutmayın. Avlarken bunu aklınızda bulundurun.

Lab 4 : Ağ Avcılığı ve Adli Tıp (YENİ!) – Bu laboratuvarda şüpheli ağ bağlantıları ve iletişim için avcılık pratiği yapacaksınız. Birden çok kötü amaçlı trafik örneğini analiz etmek için Zeek, RITA ve Wireshark kullanılacaktır.

Lab 5 : Web Shell Avcılığı Bölüm 1 – Müdürünüz Tony, size bir av programı belirler. Haftada bir kez, DMZ’de olanlar da dahil olmak üzere web sunucularını şüpheli etkinlik belirtileri açısından incelemeniz gerekir. Bu laboratuvardaki göreviniz, ağ trafiği ve web sunucusu içindeki herhangi bir web shell belirtisi aramaktır.

Lab 6 : Web Shell Avcılığı Bölüm 2 – Yöneticiniz Tony, yalnızca PHP tabanlı web shell’leri algılayabilen LOKİ gibi daha önce kullanılan araçlar tarafından algılanamayan web kabuklarını bile yakalayabilmenizi sağlamak istiyor. Tony bunu biliyor ve bir IIS sunucusunda 1 veya daha fazla ASP ve/veya ASPX tabanlı kabukları bulmak için bir av alıştırması planladı.

Lab 7 : Bellekte Avcılık (YENİ!) Lab 1 : Çalıştığınız kuruluş, rastgele seçilmiş bir makinede bellek tehdidi avı yapmanızı istiyor. Sizi keskin tutmak için bir av egzersizi olarak, BT Güvenlik yöneticisi sizi özellikle anormal bağlantılar ve bellek enjeksiyonları aramakla görevlendirdi. Lab 2 : Çalıştığınız kuruluş bir Linux makinesinde bellek tehdidi avı yapmanızı da istiyor. Sizi keskin tutmak için bir av egzersizi olarak BT Güvenliği yöneticisi sizi özellikle Linux rootkit’lerinin varlığını aramakla görevlendirdi.

Lab 8 : Process Enjeksiyonu ve Proaktif API İzleme için Avcılık (YENİ!) – Saldırganlar, zararlı kodları process’lere gizlemeyi/enjekte etmeyi sever. Bu laboratuvarda, çeşitli process enjeksiyon teknikleri için nasıl avlanacağını ve daha etkili avlar için userland API’sının izlenmesini nasıl kullanacağınızı öğreneceksiniz.

Lab 9 : Gelişmiş Endpoint Avcılığı (YENİ!) – THP içinde, endpoint seviyesinde avcılıkta gelişmiş bilgisayar korsanlığı teknikleri konusunda iki (2) farklı laboratuvar bulacaksınız. Özellikle, süreç doppelganging, AMSI bypasses, parent PID spoofing, reflective DLL injection, module stomping vb.

Lab 10 : Kötü Amaçlı Yazılım Avcılığı Bölüm 1 – Müdürünüz Tony, CFO’nun idari asistanı için makineye göz atmanızı istiyor. E-posta günlükleri, e-posta adresine ulaşmaya çalışan spam e-postalarında ani bir artış olduğunu gösterir. Güvenlik bilinci sınıfını tamamlamış olsa da, Tony riske girmek istemiyor. Tony size Redline içine yüklemek ve çalışan şüpheli bir şey olup olmadığını görmek için bir Mandiant analiz dosyası verir. (devamı var anlamadım)

Lab 11 : Kötü Amaçlı Yazılım Avcılığı Bölüm 2 – Yöneticiniz Tony, ISAC içindeki başka bir tesisten 2 bellek dosyası aldı. Bu 2 bellek dosyası, birkaç yıl önce tesislerinde meydana gelen gerçek olaylardan kaynaklanmıştır. Tony, APT saldırılarını tespit etmeye hazırlanmak için herhangi bir kod enjeksiyonu belirtisi ve/veya bir rootkit için bunları analiz edip edemeyeceğinizi görmek için bunları analiz etmenizi istiyor.

Lab 12 : Empire Avcılığı – Müdürünüz Tony, yaygın olarak kullanılan saldırı aracı Empire’ı tespit edebildiğinizden emin olmak istiyor. Empire’ın bir uç noktada varlığını tespit etmekle görevlendirildiğin bir av egzersizi planlandı.

Lab 13 : Responder Avcılığı :  Müdürünüz Tony, yaygın olarak kullanılan LLMNR, NBT-NS ve MDNS zehirleme aracı Responder’ı tespit edebildiğinizden emin olmak istiyor. Tony, yakın zamanda yapılan bir penetrasyon testinden sonra, vahşi ortamda Inveigh adı verilen PowerShell tabanlı bir Responder varyantının kullanıldığı konusunda da bilgilendirildi. Responder’ın veya Inveigh’ın ağdaki varlığını tespit etmekle görevlendirildiğiniz bir av alıştırması planlanmıştır.