培训对象: 面向企事业单位网络安全负责人、信息系统运维人员、应急响应团队成员及需要提升实战能力的IT从业人员。适合希望掌握事件响应与数字取证核心技能、能够独立处理网络安全事件的专兼职人员。
培训目标: 掌握应急响应的核心流程与取证分析方法,具备事件检测、证据获取、日志分析、网络分析和入侵溯源的能力。能够将APT与其他威胁区分开来,通过网络杀伤链研究各种攻击技术并进行针对性攻击解剖,有效应对勒索软件、数据泄露等安全事件。
培训内容介绍:
应急响应法律法规与标准体系:学习《网络安全法》《数据安全法》等法律法规要求,掌握信息安全事件分级分类标准及PDCERF(准备、检测、抑制、根除、恢复、跟踪)应急响应模型。
应急管理体系建设:学习应急响应组织架构设计、应急预案制定流程、应急资源准备及跨部门协同机制,建立完善的应急管理体系。
证据获取与现场保护:掌握易失性数据(内存、进程、网络连接)的获取方法,学习磁盘镜像技术、证据完整性保护(哈希校验)及证据链管理规范。
日志文件深度分析:学习Windows事件日志、Linux系统日志、Web访问日志、防火墙日志的分析方法,通过日志溯源攻击路径与时间线。
网络流量分析与IoC创建:掌握使用Wireshark、Suricata等工具进行网络流量分析的技术,学习攻击指标(IoC)的提取与创建方法。
内存取证分析入门:学习使用Volatility等工具进行内存取证分析,从内存镜像中提取进程信息、网络连接、加密密钥等关键证据。
恶意代码初步分析:掌握静态分析与动态分析基础,学习使用沙箱环境运行可疑程序,识别恶意行为特征。
勒索软件应急响应:以真实REvil勒索软件案例为例,学习勒索软件的检测、隔离、解密恢复及根除方法。
数据泄露事件处置:学习数据泄露事件的快速发现、泄露范围评估、数据恢复及后续溯源分析技术。
Web攻击应急响应:掌握SQL注入、XSS、文件上传等Web攻击事件的应急响应流程,学习Webshell的检测与清除方法。
红黑对抗模拟演练:在应急响应演练云平台进行1v1攻防实操,体验红队攻击与蓝队防御的真实对抗。
应急响应工具箱配置:学习应急响应工具箱的软件配置与使用技巧,掌握ELK Stack、PowerShell、YARA等工具的实战应用。
