О мероприятии
Воркшоп поможет начинающим инженерам и аналитикам SOC, SecOps-инженерам научиться выполнять анализ 3 типов атак. На их примерах вы научитесь не только фиксировать журнал событий ОС в моменты атак, но и фиксировать цепочку событий, предшествующих успешным атакам, а также точечно настраивать и использовать SACL аудит политики, самостоятельно создавать и настраивать правила обнаружения атак на ранних этапах в open-sourse SIEM (ELK).
Программа
В настоящее время у российских компаний нет возможности использовать зарубежные технологические инструменты. Им приходится переходить на open source решения, у которых отсутствуют централизованные и постоянно обновляемые базы сигнатур.
И компаниям приходится создавать их самостоятельно. По этой причине SOC L3 аналитики вынуждены заниматься разработкой правил обнаружения, руководствуясь лишь общими описаниями новых тактик и техник. На воркшопе мы разберем примеры создания таких правил обнаружения.
На воркшопе вы выполните подробный анализ подготовительных событий в Active Directory, позволяющих реализовать атаки DCsync, RBCD и ADCS Domain Privilege Escalation, научитесь анализировать алгоритмы атак и улучшать их логирование для успешного обнаружения на ранних стадиях, фиксировать события в журналах Windows, создавать корреляционные правила в ELK.
- SOC-инженеры. Зачастую SOC L1/2 инженерам нет необходимости иметь глубокие знания в ИБ, т.к. критерием качества их работы является умение быстро и четко отрабатывать по ранее составленным плейбукам. Для того чтобы расти и развивать свою карьеру им необходимо понимать не только алгоритмы расследования инцидентов, но и принципы их обнаружения, уметь самим создавать новые правила обнаружения.
- SecOPS-инженеры. SecOPS инженеры занимаются поддержкой SOC инфраструктуры, но могут не понимать, как используются успешно собранные логи, как логи превращаются в инструменты обнаружения злоумышленников и как такие инструменты можно создавать самостоятельно. Мы поможем им в этом разобраться.
Тема 1. Обнаружение атаки DCsync
- Проводим атаку DCsync
- Фиксируем события в журналах ОС
- Анализируем алгоритм атаки и улучшаем логирование для обнаружения атаки на ранних этапах
- Повторяем атаку DCsync
- Фиксируем обновленные события в журналах ОС
- Строим правило обнаружения атаки на ранних этапах в SIEM
Тема 2. Обнаружение атаки Resource-based Constrained Delegation
- Проводим атаку Resource-based Constrained Delegation
- Фиксируем события в журналах ОС
- Анализируем алгоритм атаки и улучшаем логирование для обнаружения атаки на ранних этапах
- Повторяем атаку Resource-based Constrained Delegation
- Фиксируем обновленные события в журналах ОС
- Строим правило обнаружения атаки на ранних этапах в SIEM
Тема 3. Обнаружение атаки AD CS Domain Privilege Escalation
- Проводим атаку AD CS Domain Privilege Escalation
- Фиксируем события в журналах ОС
- Анализируем алгоритм атаки и улучшаем логирование для обнаружения атаки на ранних этапах
- Повторяем атаку AD CS Domain Privilege Escalation
- Фиксируем обновленные события в журналах ОС
- Строим правило обнаружения атаки на ранних этапах в SIEM
- Умение читать специализированную документацию и техническую литературу на английском языке (можно со словарем)
- Иметь представление о взаимодействии компьютеров в сети
- Базовые знания об Active Directory, его объектах и его сервисах
- Опыт работы в Linux терминале для воспроизведения атак самостоятельно (опционально)
- Microsoft Teams
- Браузер Chrome или Mozilla Firefox
- WSL или Kali/Parrot VM для воспроизведения атак самостоятельно (опционально)
Для комфортного прохождения интенсива и сохранения всех полученных материалов
- Не менее 8 ГБ DDR3 оперативной памяти
- Процессор не менее восьми ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 256 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
Что вам предоставят
- Доступ к тестовой инфраструктуре
- Методические рекомендации
- Карты атак на системы
- Доступ к тестовой инфраструктуре
- Методические рекомендации
- Карты атак на системы
Участники воркшопа разберут примеры атак на системы, выполнят анализ 3 популярных типов атак и настроят правила их обнаружения в ELK, разберут принципы анализа событий журналов Windows и научатся фиксировать журнал событий в момент атаки, а также формулировать цепочку событий, предшествующих атаке, изучат и закрепят основные принципы создания детектов.
Петр Зузанов
SecOps Manager в RingCentral.
Эксперт SOC.
Также работал Senior Security Engineer в Sberbank, Performance software engineer в ITIVITI, SecOps TeamLead в RingCentral.
Ключевые компетенции:
- Создание эффективного SOC
- Проектирование защиты высоконагруженных систем
- Построение сетевой защиты от внешних и внутренних угроз
- Построение процессов управления уязвимостями
- Тестирование на проникновение корпоративных сетей
Опыт по преподаваемым темам более 15 лет.
Петр регулярно участвует и завоевывает места в профильных соревнованиях: The Standoff, Cyber Polygon.