课程大纲

Introduction & Course Orientation

  • Course objectives, expected outcomes, and lab environment setup
  • High-level EDR architecture and OpenEDR components
  • Review of MITRE ATT&CK framework and threat-hunting fundamentals

OpenEDR Deployment & Telemetry Collection

  • Installing and configuring OpenEDR agents on Windows endpoints
  • Server components, data ingestion pipelines, and storage considerations
  • Configuring telemetry sources, event normalization, and enrichment

Understanding Endpoint Telemetry & Event Modeling

  • Key endpoint event types, fields, and how they map to ATT&CK techniques
  • Event filtering, correlation strategies, and noise reduction techniques
  • Creating reliable detection signals from low-fidelity telemetry

Mapping Detections to MITRE ATT&CK

  • Translating telemetry into ATT&CK technique coverage and detection gaps
  • Using ATT&CK Navigator and documenting mapping decisions
  • Prioritizing techniques for hunting based on risk and telemetry availability

Threat Hunting Methodologies

  • Hypothesis-driven hunting vs indicator-led investigations
  • Hunt playbook development and iterative discovery workflows
  • Hands-on hunting labs: identifying lateral movement, persistence, and privilege escalation patterns

Detection Engineering & Tuning

  • Designing detection rules using event correlation and behavioral baselines
  • Rule-testing, tuning to reduce false positives, and measuring effectiveness
  • Creating signatures and analytic content for reuse across the environment

Incident Response & Root Cause Analysis with OpenEDR

  • Using OpenEDR to triage alerts, investigate incidents, and timeline attacks
  • Forensic artifact collection, evidence preservation, and chain-of-custody considerations
  • Integrating findings into IR playbooks and remediation workflows

Automation, Orchestration & Integration

  • Automating routine hunts and alert enrichment using scripts and connectors
  • Integrating OpenEDR with SIEM, SOAR, and threat intelligence platforms
  • Scaling telemetry, retention, and operational considerations for enterprise deployments

Advanced Use Cases & Red Team Collaboration

  • Simulating adversary behavior for validation: purple-team exercises and ATT&CK-based emulation
  • Case studies: real-world hunts and post-incident analyses
  • Designing continuous improvement cycles for detection coverage

Capstone Lab & Presentations

  • Guided capstone: full hunt from hypothesis through containment and root cause analysis using lab scenarios
  • Participant presentations of findings and recommended mitigations
  • Course wrap-up, materials distribution, and recommended next steps

要求

  • An understanding of endpoint security fundamentals
  • Experience with log analysis and basic Linux/Windows administration
  • Familiarity with common attack techniques and incident response concepts

Audience

  • Security operations center (SOC) analysts
  • Threat hunters and incident responders
  • Security engineers responsible for detection engineering and telemetry
 21 小时

需要帮助选择合适的课程吗?

客户评论 (4)

培训师知识渊博,花时间对网路安全问题有很好的见解。这些例子中的很多都可以为我们的学习者使用或修改,并创建一些非常吸引人的课程活动。

Jenna - Merthyr College
课程 - Fundamentals of Corporate Cyber Warfare

机器翻译

渗透测试员的技能是什么证明老师

Oleksii Adamovych - EY GLOBAL SERVICES (POLAND) SP Z O O
课程 - Ethical Hacker

机器翻译

讲师拥有非常广泛的知识,并致力于他的工作。他能够让听众对他的课程感兴趣。培训范围完全符合我的期望。

Karolina Pfajfer - EY GLOBAL SERVICES (POLAND) SP Z O O
课程 - MasterClass Certified Ethical Hacker Program

机器翻译

All is excellent

Manar Abu Talib - Dubai Electronic Security Center
课程 - MITRE ATT&CK

即将举行的公开课程

Mastering Open-Source EDR & Mitre ATT&CK for Threat Hunting

2025-12-01 09:30
21 小时
Digital 01 Building

Mastering Open-Source EDR & Mitre ATT&CK for Threat Hunting

2025-12-15 09:30
21 小时
Zhuhai Tianlang Haifeng

Mastering Open-Source EDR & Mitre ATT&CK for Threat Hunting

2025-12-29 09:30
21 小时
Zhuhai - Yu Hai World Financial Centre

相关课程

AI驱动的网络安全:威胁检测与响应

21 小时

本课程为讲师指导的中国(线上或线下)培训,面向初级网络安全专业人士,旨在帮助他们学习如何利用AI提升威胁检测和响应能力。

培训结束后,参与者将能够:

  • 了解AI在网络安全中的应用。
  • 实施AI算法进行威胁检测。
  • 使用AI工具自动化事件响应。
  • 将AI集成到现有的网络安全基础设施中。
查看更多...

AI驱动的网络安全:高级威胁检测与响应

28 小时

本次由讲师指导的线下或线上培训,面向中级到高级的网络安全专业人士,旨在提升他们在AI驱动的威胁检测和事件响应方面的技能。

培训结束后,参与者将能够:

  • 实施高级AI算法,用于实时威胁检测。
  • 针对特定网络安全挑战定制AI模型。
  • 开发威胁响应的自动化工作流程。
  • 保护AI驱动的安全工具,抵御对抗性攻击。
查看更多...

网络安全防御(SOC)分析师基础

7 小时

这种以讲师为主导的中国现场培训(现场或远程)面向希望建立对网络防御(SOC)分析基础理解的初级到中级安全分析师和系统管理员。

在培训结束时,参与者将能够:

  • 在网络防御环境中了解安全原则 Management。
  • 执行有效的事件响应策略以缓解安全事件。
  • 实施安全教育实践,以提高组织意识和准备工作。
  • 管理和分析安全信息,以便主动识别威胁。
  • 利用事件 Management 技术来监视和响应安全事件。
  • 实施漏洞 Management 流程以识别和解决系统漏洞。
  • 培养威胁检测技能,以识别和应对潜在的网络威胁。
  • 参与模拟攻击,以测试和提高事件响应能力。
查看更多...

CHFI - 认证数字取证审查员

35 小时

Certified Digital Forensics Examiner 供应商中立认证旨在培训网路犯罪和欺诈调查员,让学生学习电子发现和高级调查技术。本课程对于在进行调查时遇到数字证据的任何人来说都是必不可少的。

认证数位取证审查员培训教授进行计算机取证检查的方法。 学生将学习使用法医合理的调查技术来评估现场、收集和记录所有相关信息、采访适当的人员、维护监管链并撰写调查结果报告。

认证数位取证审查员课程将使有兴趣根据数字证据进行诉讼、有罪证明或纠正措施的组织、个人、政府办公室和执法机构受益。

查看更多...

掌握持续威胁暴露管理 Management (CTEM)

28 小时

这种以讲师为主导的 中国(在线或现场)现场培训面向希望在其组织中实施 CTEM 的中级网络安全专业人员。

在培训结束时,参与者将能够:

  • 了解CTEM的原理和阶段。
  • 使用 CTEM 方法识别风险并确定其优先级。
  • 将 CTEM 实践集成到现有安全协议中。
  • 利用工具和技术进行持续的威胁管理。
  • 制定策略以不断验证和改进安全措施。
查看更多...

网络安全应急响应团队(CERT)

7 小时

本课程讨论如何管理事件响应团队。第一响应者如何行动 鉴于当今网络攻击的频率和复杂性,事件响应对组织来说是一项关键功能。

事件响应是最后一道防线,检测和有效响应事件需要强大的管理流程,而管理事件响应团队需要特殊的技能和知识

查看更多...

网络安全威胁情报

35 小时

本次由讲师指导的线下或线上培训,面向希望了解网络威胁情报并学习有效管理和缓解网络威胁技能的高级网络安全专业人员。

通过本次培训,学员将能够:

  • 理解网络威胁情报(CTI)的基础知识。
  • 分析当前的网络威胁态势。
  • 收集和处理情报数据。
  • 执行高级威胁分析。
  • 利用威胁情报平台(TIPs)并自动化威胁情报流程。
查看更多...

Fundamentals of Corporate Cyber Warfare

 14 小时

这种以讲师为主导的中国现场培训(现场或远程)涵盖了企业安全的不同方面,从AI到数据库安全。它还涵盖了抵御攻击所需的最新工具、流程和思维方式。 

查看更多...

DeepSeek 用于网络安全与威胁检测

14 小时

这门由讲师主导的现场培训课程旨在针对希望利用DeepSeek进行高级威胁检测和自动化的中级网络安全专业人士。

结束这次培训时,参与者将能够:

  • 利用DeepSeek AI实现实时威胁检测和分析。
  • 实施AI驱动的异常检测技术。
  • 使用DeepSeek自动化安全监控和响应。
  • 将DeepSeek集成到现有的网络安全框架中。
查看更多...

数字调查 - 高级

21 小时

在本课程中,您将学习数位取证调查的原理和技术以及可用的计算机取证工具的范围。您将了解确保证据在法庭上可采的核心取证程式,以及法律和道德影响。

您将学习如何在具有不同文件系统的 Unix/Linux 和 Windows 系统上执行取证调查。具有许多高级主题,如无线、网路、网路、资料库和移动犯罪调查    
 

查看更多...

道德黑客

35 小时

这门课将让学生沉浸在一个互动环境中,在那里他们将学习如何扫描、测试、破解和保护自己的系统。实验室密集的环境为每个学生提供了有关当前基本安全系统的深入知识和实践经验。学生将首先了解边界防御的工作原理,然后被引导扫描和攻击自己的网络,没有真正的网络受到损害。然后,学生将了解入侵者如何提升权限,以及可以采取哪些步骤来保护系统。学生还将学习入侵检测、策略创建、社会工程、DDoS 攻击、缓冲区溢出和病毒创建。当学生离开这个为期 5 天的密集课程时,他们将亲身体验道德黑客的理解和经验。

道德黑客培训的目的是:

  • 制定并管理最低标准,以对专业信息安全专家进行道德黑客攻击的认证。
  • 告知公众,有资质的个人达到或超过最低标准。
  • 加强道德黑客行为,将其作为一种独特且自我调节的职业。

观众:

该课程非常适合那些从事以下职位的人,但不限于:

  • 安全工程师
  • 安全顾问
  • 安全经理
  • IT 总监/经理
  • 安全审计员
  • IT 系统管理员
  • IT 网络管理员
  • 网络架构师
  • 开发 人员
查看更多...

理解与管理恶意软件的威胁

7 小时

这种由 讲师指导的 中国 现场培训(在线或现场)面向希望了解恶意软体并采取适当措施以最大程度减少其威胁的计算机使用者。

在本次培训结束时,参与者将能够:

  • 了解恶意软体的概念。
  • 识别不同类型的恶意软体。
  • 采取必要的措施来缓解恶意软体(程序、技术、意识等)。
查看更多...

MasterClass Certified Ethical Hacker Program

28 小时

认证道德黑客认证是全球备受追捧的网络安全认证。

该计划结合了教学和实践,让学生准备好参加 CEH 认证考试以及 CEH 实践考试。成功通过两项考试的考生将获得 CEH 硕士证书以及 CEH 认证。

学生可以选择将 CPENT 或 CHFI 课程添加到他们的套餐中。

认证渗透测试专业人员 (CPENT) 课程或计算机黑客取证调查员 (CHFI) 课程的培训将通过 EC-Council 的在线、自定进度的流媒体视频程序提供给每个学生。

CPENT(渗透测试):
教学生如何将 CEH 计划中教授的概念和工具应用于实时网络范围内的渗透测试方法。

CHFI(计算机取证):
向学生传授计算机取证的方法论方法,包括搜索和扣押、监管链、获取、保存、分析和报告数字证据。

课程描述

CEH 提供对道德黑客阶段、各种攻击向量和预防性对策的深入了解。它将教您黑客如何恶意思考和行动,以便您更好地设置安全基础设施并防御未来的攻击。了解系统弱点和漏洞有助于组织加强其系统安全控制,以最大限度地降低事件风险。

CEH 旨在在每个道德黑客领域和方法中融入实践环境和系统流程,让您有机会努力证明获得 CEH 证书所需的知识和技能。对于安全所需的责任和措施,您将面临完全不同的态度。

谁应该参加

  • 执法人员
  • 系统管理员
  • 保安人员
  • 国防和军事人员
  • 法律专业人士
  • 银行家
  • 安全专业人员

关于Certified Ethical Hacker Master

要获得 CEH 大师认证,您必须通过 CEH 实践考试。CEH 实践考试旨在让学生有机会证明他们可以执行 CEH 课程中教授的原则。实践考试要求您展示道德黑客技术的应用,例如威胁向量识别、网络扫描、操作系统检测、漏洞分析、系统黑客攻击等。

CEH Practical 不包含模拟。相反,您将挑战一个实时范围,该范围旨在通过使用实时虚拟机、网络和应用程序来模仿公司网络。

成功完成 CEH 实践考试中发现的挑战是获得认证道德黑客 (CEH) 认证后的下一步。成功通过 CEH 考试和 CEH 实践考试将为您赢得 CEH Master 的额外认证。

关于Certified Ethical Hacker Practical

为了证明您擅长道德黑客攻击,我们使用实验室和工具在真实世界环境中通过现实世界的挑战来测试您的能力,要求您在规定的时间内完成特定的道德黑客挑战,就像您在现实世界中面临的那样。

EC-Council CEH(实践)考试由一个复杂的网络组成,该网络复制了大型组织的真实网络,并由各种网络系统(包括DMZ、防火墙等)组成。您必须运用您的道德黑客技能来发现和利用实时漏洞,同时还要审核系统。

关于CPENT

EC-Council 的 Certified Penetration Tester (CPENT) 计划是关于渗透测试的,它将教您在必须受到攻击、利用、规避和防御的企业网络环境中执行。如果您只是在平面网络中工作,CPENT 的实时练习范围将教您通过教您渗透测试物联网系统、OT 系统,以及如何编写自己的漏洞、构建自己的工具、进行高级二进制文件开发、双重枢轴访问隐藏网络, 以及定制脚本和漏洞利用,以进入网络的最内层部分。

关于CHFI

计算机黑客取证调查员 (CHFI) 课程从供应商中立的角度提供数字取证的安全学科。CHFI是一门涵盖主要法医调查场景的综合课程,使学生能够获得成功进行计算机法医调查所需的各种法医调查技术和标准法医工具的必要实践经验。

查看更多...

MITRE ATT&CK

7 小时

这种由讲师指导的 中国 现场培训(在线或现场)面向希望使用 MITRE ATT&CK 来降低安全 泄露风险 的信息系统分析师。

在本次培训结束时,参与者将能够:

  • 设置必要的开发环境以开始实施 MITRE ATT&CK。
  • 对攻击者与系统的交互方式进行分类。
  • 记录系统内的攻击者行为。
  • 跟踪攻击、破译模式和评级已有的防御工具。
查看更多...

社交工程

14 小时

这种以讲师为主导的中国现场培训(现场或远程)针对的是希望 学习社会工程背后的技术和过程以保护敏感公司信息的信息分析师。

在培训结束时,参与者将能够:

  • 设置必要的开发环境以开始创建自定义恶意软件。
  • 未检测到后门合法 Web 应用程序。
  • 将邪恶文件作为正常文件类型提供。
  • 使用社会工程技术将目标引导至虚假网站。
查看更多...

课程分类

威胁检测与响应 (TDR)
威胁检测与响应 (TDR)