Corso online di

Threat Hunting

Sviluppa le tue doti di cacciatore di minacce

  • Video lezioni chiare ed efficaci
  • Accesso al corso h24
  • Esercizi di approfondimento
  • Materiale scaricabile
  • Esame e certificazione finale
Image

Certificazione finale

Questo corso prevede un esame finale per il conseguimento della certificazione Professional Threat Hunter

Lezioni E-Learning

Tutte le lezioni sono state registrate dai nostri docenti, garantendo massima flessibilità e comodità nel seguire le lezione quando e dove vuoi

Accesso illimitato

Il corso on line è accessibile in ogni momento ed il materiale didattico è scaricabile localmente.
Obiettivi del corso


Il corso intende formare personale specializzato nella caccia alle minacce informatiche in azione su una rete locale, consentendo di identificare il passaggio, la presenza, e le azioni compiute da queste minacce durante la loro presenza nel perimetro. Questo consentirà non solo una più efficace difesa dalle minacce attuali, ma consentirà anche di prevenire minacce future grazie alla comprensione profonda del loro modo di agire. Il corso si focalizza nel creare le necessarie competenze sulle tecniche di analisi di pacchetto, sugli strumenti e le procedure da adottare nella caccia alle minacce attraverso la rete TCP/IP. In particolare le tecniche di indagine verranno introdotte ai differenti livelli della pila ISO/OSI per poter contrastare la minaccia in ogni sua forma e posizionamento nella rete. Il corso culminerà nella analisi completa del comportamento in rete di minacce reali (malware operanti a tutt’oggi).

Modulo 1: La ricerca della minaccia
Dettagli Programma
  1. Introduzione
  2. Cosa è il Threat Hunting
  3. Tipo di strategia
  4. Strumenti
  5. Obiettivi
  6. Il Threat Hunting all’interno del processo di Incident Reponse
  7. Il Threat Hunting e il processo di Risk Management
  8. Le fasi della caccia
  9. La threat intelligence e l’analisi forense
  10. I confini della caccia
  11. Le informazioni di intelligence: IoC
Modulo 2: Modelli e metodi
Dettagli Programma
  1. I modelli di riferimento
  2. Piramide della paura
  3. La Kill chain e le contromisure
  4. Il modello a diamante
  5. Come di esplora il terreno di caccia
  6. Dalle ipotesi al report: il processo di caccia
  7. La struttura di un report
Modulo 3: La caccia in rete
Dettagli Programma
  1. Dalla intelligence all’infrastruttura
  2. Il ruolo del cacciatore
  3. L’origine della caccia: il traffico anomalo
  4. La Packet Inspection
    1. Live o registrata
    2. Strategie e piani per la difesa
    3. Gli strumenti per la difesa
    4. I punti di indagine
    5. I modi per intercettare il traffico di rete: i punti di inserzione
  5. Gli strumenti per la packet inspection
  6. Libpcap e gli strumenti derivati
    1. Tcpdump
    2. TShark
  7. Uno strumento agile: Wireshark
    1. Utilizzo dei filtri
    2. Identificazione User ed Hosts
    3. Esportazione di flussi Pcap
Modulo 4: Ricerca delle minacce attraverso la pila ISO/OSI
Dettagli Programma
  1. Il rilevamento di attacchi a livello fisico
    1. Anatomia del protocollo ARP
    2. Sfruttamento del protocollo ARP
    3. ARP pinging
    4. ARP e verdors
    5. Criteri di sicurezza e nuove strade
    6. Il traffico normale e non
  2. Il rilevamento di attacchi a livello IP
    1. Anatomia del protocollo ICMP
    2. Sfruttamento del protocollo ICMP
    3. Ping sweep
    4. ICMP malevolo: esfiltrazione di dati
    5. Il traffico normale e non
  3. Il rilevamento di attacchi a livello trasporto: il TCP
    1. Il protocollo TCP e il 3-way handshaking
    2. Wireshark e i contatori del TCP
    3. Il traffico normale e non
  4. Attività particolari sul livello trasporto: scanning
    1. Analizzare l’attività di uno dei più diffusi strumenti di scansione: nmap
      1. Host discovery
      2. Port sweep
    2. I differenti modi di scansione
      1. TCP SYN scan /stealth
      2. TCP connect scan
      3. FIN Scan
      4. NULL Scan
      5. XMAS Scan
    3. Il rilevamento di attacchi a livello trasporto: il UDP
      1. Il protocollo UDP
      2. Il traffico normale e non
      3. Analizzare l’attività di scansione del protocollo UDP
    4. Il rilevamento di attacchi a livello applicazione
      1. Il protocollo DHCP
        1. Anatomia del protocollo DHCP
        2. Particolarità in Wireshark
        3. Il traffico normale e non
      2. Il protocollo DNS
        1. Anatomia del protocollo DNS
        2. Sfruttamento del protocollo DNS
        3. Il traffico normale e non
      3. Il protocollo HTTP
        1. Anatomia del protocollo HTTP
        2. Il traffico normale e non
        3. Strumenti di Wireshark dedicati al protocollo HTTP
        4. Il protocollo sicuro HTTPS
        5. Analizzare HTTPS
        6. Decifrare HTTPS
Modulo 5: Analisi di flussi sospetti
Dettagli Programma
  1. Il rilevamento di attacchi mediante analisi dei flussi
  2. Un traffico sconosciuto
  3. Esame flussi collegati a malware noti
    1. Esaminare una infezione da Ursnif
    2. Esaminare una infezione da Qakbot
A chi è rivolto il corso?

Il corso è finalizzato alla formazione di una figura altamente specialistica che, utilizzando le sue conoscenze sul networking e sulle TTP degli attori di minaccia, possa applicare processi e procedure opportune per intervenire nelle fasi di identificazione e contenimento dell’incident response.
Requisiti per iscriversi

I requisiti sono la conoscenza dei fondamenti di networking TCP/IP, conoscenza della Cyber Kill Chain e delle nozioni sulle minacce informatiche (APT, malware, ecc), nonché gli argomenti del corso SOC Specialist o equivalente.

Laboratori virtuali

Il corso prevede una importante componente di pratica con esercizi nel quale verrà mostrato come analizzare e decodificare passo dopo passo flussi di rete generati da minacce. Agli studenti verrà mostrato come preparare il proprio laboratorio di indagine e verranno messi a disposizione registrazioni di flussi di rete da analizzare con gli strumenti e le tecniche di indagine presentati nel corso. Saranno disponibili anche registrazioni di flussi generati da minacce attive nel panorama Internet, allo scopo di familiarizzare con questo tipo di traffico.

Image
Dettagli del corso

Per chiarimenti sulla struttura e il funzionamento del corso, non esitare a contattarci via email o telefono. 

Modalità di fruizione
On demand con accesso ai contenuti on line 24x7
Durata del corso
12 mesi di tempo per completare il corso e l’esame di certificazione
Contenuti
9 ore di videolezioni registrate in italiano e laboratori
Certificazione finale
Questo corso prevede un esame finale per il conseguimento della certificazione Professional Threat Hunter
Image
Gli insegnanti
ANDREA TASSOTTI
ANDREA TASSOTTI Cyber Security Specialist
Test center
Image
Centro Accreditato
Image
Utilizziamo i cookie per migliorare l'esperienza dell'utente e le funzioni del sito. Continuando la navigazione, accetti la nostra Informativa sui cookie.