IT-Defense 2025System Forensics, Incident Handling and Threat Hunting with Entra ID Management

System Forensics, Incident Handling and Threat Hunting with Entra ID Management

Referentin:  Paula Januszkiewicz

Dauer: 2 Tage -  10.-11. Februar 2025

In diesem umfassenden Training werden den Teilnehmern die wichtigsten Fähigkeiten vermittelt, um Daten erfolgreich aufzuspüren, zu sammeln und aufzubewahren und um Vorfälle zu analysieren. Zudem können die Teilnehmer ihr Wissen über Cybersicherheitsereignisse ausbauen. Der Kurs ist besonders interaktiv und praxisorientiert aufgebaut und liefert detaillierte Kenntnisse in verschiedenen elementaren Bereichen.

Das Training beginnt mit einer Einführung in Windows-Interna. Dabei werden Prozesse, Threads und Techniken zur Sammlung und Analyse von Systemdaten vorgestellt. Die Teilnehmer lernen, wie man Monitoring-Maßnahmen absichert und Threat Hunting betreibt, wobei der Schwerpunkt darauf liegt, wie sich Malware identifizieren und abwehren lässt und wie man versteckte Aktivitäten im Netzwerk aufdeckt.

Darüber hinaus geht es um die Handhabung von Schadcode-Angriffen, einschließlich Vorbereitung, Erkennung, Eindämmung und Strategien zur Wiederherstellung. Auch fortgeschrittene Themen wie statische und verhaltensbasierte Malwareanalyse, Erstellung und Analyse eines Speicherabbilds sowie die Sicherung von Festplatten werden umfassend abgedeckt.

Die Teilnehmer erlangen wichtige Kenntnisse in der Verwaltung von Entra ID, einschließlich Mehrfaktorauthentifizierung, passwortlose Authentifizierung, Identitätsschutz und Privileged Identity Management. Im Training werden Best Practices zur Absicherung und Verwaltung von Entra ID im Unternehmen behandelt sowie zur Integration von Entra ID in das on premises Active Directory und in Drittanwendungen.

Zudem bietet der Kurs einen umfassenden Ansatz zur Forensik und zum Incident Handling mit Fokus auf praktische Fähigkeiten und reale Anwendungen. Das Training richtet sich an Cybersicherheitsfachleute, IT-Administratoren, Incident Responder und alle, die für die Absicherung und Verwaltung einer IT-Infrastruktur verantwortlich sind.

Agenda

Modul 1: Einführung in Windows-Interna

  • Einführung in Windows-Interna
  • Prozesse und Threads
  • PID und TID
  • Datensammlung auf einem laufenden Betriebssystem
  • Sammeln flüchtiger Daten
  • Details zu Autostart
  • Überprüfung effektiver Berechtigungen
  • NTFS-Berechtigungen mit PowerShell
  • Auswerten von Berechtigungen mit Access Check
  • Unnötige und schädliche Dienste
  • Erkennung unnötiger Dienste mit PowerShell

Modul 2: Absichern von Monitoring-Maßnahmen und Threat Hunting

  • Arten des Hunting
  • Definition von Hunting-Zielen
  • Techniken zum Verstecken von Malware
  • Interne Reconnaissance
  • Lateral Movement
  • Versteckte Übertragungen im Netzwerk

Modul 3: Umgang mit Schadcode-Angriffen

  • Anzahl an Malware Samples
  • Viren, Würmer, Trojaner und Spyware
  • Vorbereitungen zum Incident Handling
  • Verhinderung von Vorfällen
  • Erkennung von Schadcode
  • Strategie zur Eindämmung
  • Beweissammlung und Maßnahmen zur Beseitigung und Wiederherstellung

Modul 4: Statische Malware-Analyse

  • Szenarien der statischen Malware-Analyse
  • Arten und Ziele der Malware-Analyse
  • Cloudbasierte Malware-Analyse
  • Schritte zur Verhinderung von Vorfällen und zur Incident Response
  • Eindämmung und Abschwächung
  • Untersuchung ausführbarer Dateien
  • Werkzeuge zur statischen Analyse

Modul 5: Verhaltensbasierte Malware-Analyse und Threat Hunting

  • Malware-Ausbruch
  • Sysinternals Suite
  • Analyse der Netzwerkkommunikation
  • Überwachung von Systemereignissen
  • Analyse eines Speicherabbilds
  • Simulieren einer realen Umgebung

Modul 6: Speicher: Erstellung und Analyse eines Speicherabbilds

  • Einführung in die Erstellung und Analyse eines Speicherabbilds
  • Erstellung eines Speicherabbilds – Belkasoft RAM Capturer und DumpIt
  • Einsatz von Volatility zur Analyse eines Windows-Speicherabbilds
  • Analyse eines Stuxnet-Speicherabbilds mit Volatility
  • Automatische Analyse eines Speicherabbilds mit Volatility

Modul 7: Festplatte: Datensicherung und Analyse von Festplatten

  • Einführung in die Datensicherung und Analyse von Festplatten
  • Sicherung von Datenträgern
  • Mounten forensischer Disk-Images
  • Virtuelle Disk-Images 
  • Signatur- vs. Datei-Carving 
  • Einführung in das NTFS-Dateisystem 
  • Analyse des Windows-Dateisystems 
  • Autopsy für andere Dateisysteme 
  • Extraktion von Daten über die Verwendung externer Geräte (z. B. USB) 
  • Rekonstruktion der Account-Nutzung 
  • Extraktion von Daten über kürzlich genutzte Anwendungen, Dateien etc. 
  • Datenwiederherstellung nach der Löschung von Partitionen 
  • Extraktion von Informationen zu gelöschten Dateien und von dateibezogenen Informationen 
  • Datenextraktion aus Dateiartefakten wie z. B. $STANDARD_INFORMATION 
  • Passwortwiederherstellung 
  • Extraktion von Daten des Windows Indexing Service 
  • Details zu automatischen Speicherorten 
  • Detailanalyse von Windows Prefetch 
  • Extraktion von Informationen zur Programmausführung (UserAssist, RecentApps, Shimcache, appcompatcache etc.) 
  • Extraktion von Informationen zur Browsernutzung (Browserverlauf, Cache, Cookies etc.) 
  • Datenextraktion bei Messenger-Apps 
  • Extraktion von Informationen zu Netzwerkaktivitäten 
  • Erstellen von Timelines

Modul 8: Entra ID 

  • Einführung in Entra ID 

Modul 9: Sichere Identität 

  • Mehrfaktorauthentifizierung 
  • Passwortlose Authentifizierung, FIDO2, Windows Hello 
  • Self-Service Password Reset (SSPR) 
  • Identitätsschutz bei Entra ID 
  • Privileged Identity Management (PIM) bei Entra ID 
  • Passwortschutz bei Entra ID 

Preis: 2.100,- €

Datum: 10.+11. Februar 2025

Trainingsort: 
The Westin Leipzig Hotel
Gerberstraße 15
04105 Leipzig
Tel.: +49 341 988-0
info@westin-leipzig.com