Seminar / Training
Überblick
Dieses Seminar richtet osquery konsequent auf Security Monitoring und Threat Hunting aus. Es geht um Hypothesen, Abfragen, Datenqualität, Detektionslogik, Bewertung von Auffälligkeiten und den Übergang in SOC-Prozesse.
Behandelt werden Prozesse, Netzwerk, Persistenz, Benutzeraktivitäten, Dateiindikatoren, Konfigurationsabweichungen und Host-Vergleiche. Der Schwerpunkt liegt auf kontrollierter Analyse statt auf Alarmfeuerwerk nach dem Prinzip Hoffnung.
Drei Tage sind notwendig, weil Threat Hunting neben Query-Technik auch Hypothesenbildung, Bewertung, False-Positive-Reduktion und Dokumentation umfasst.
Für wen dieses Seminar geeignet ist
- SOC-Teams, die osquery für Untersuchungen und Monitoring einsetzen wollen
- Threat Hunter, die Endpoint-Hypothesen strukturiert prüfen möchten
- Security Engineers, die Detection Use Cases mit osquery entwickeln
- Incident Responder, die Abfragepakete für wiederkehrende Szenarien benötigen
Voraussetzungen
Grundkenntnisse in IT-Sicherheit, Endpoint-Artefakten und SQL. Praktische osquery-Grundlagen sind hilfreich, werden zu Beginn kurz eingeordnet.
Seminarinhalte
Hunting-Grundlagen mit osquery
- Hypothesen aus Bedrohungsmodellen und Beobachtungen ableiten
- Geeignete Tabellen für Prozesse, Netzwerk, Persistenz und Benutzeraktivität auswählen
- Live Queries und geplante Abfragen im Security-Kontext abgrenzen
- Ergebnisse fachlich bewerten und Kontextinformationen ergänzen
Detektionsabfragen entwickeln
- Persistenzmechanismen und Autostart-Orte prüfen
- Verdächtige Prozessmuster, Kommandozeilen und Eltern-Kind-Beziehungen untersuchen
- Netzwerkverbindungen, Ports und ungewöhnliche Kommunikationsmuster analysieren
- Dateien, Hashes, Pfade und Berechtigungen als Indikatoren nutzen
False Positives und Baselines
- Normale Zustände erfassen und von Abweichungen trennen
- Plattform-, Rollen- und Standortunterschiede berücksichtigen
- Filter, Allow-Lists und Kontextfelder gezielt einsetzen
- Detektionsqualität durch Testfälle und Gegenbeispiele verbessern
SOC-Übergabe und Dokumentation
- Use Cases mit Query-Ziel, erwarteten Ergebnissen und Eskalationslogik beschreiben
- Hunting-Ergebnisse nachvollziehbar dokumentieren
- Query-Packs für regelmäßige Sicherheitsprüfungen strukturieren
- Übergabe an Incident Response und SIEM-Prozesse vorbereiten
Praktische Übungen
- Formulieren von Hunting-Hypothesen zu Persistenz und ungewöhnlichen Prozessen
- Entwicklung mehrerer Security Queries mit Bewertung der Ergebnisqualität
- Vergleich auffälliger und unauffälliger Hosts anhand derselben Abfragen
- Reduktion von Fehlalarmen durch Baseline- und Kontextlogik
- Erstellung eines Hunting-Packs mit Dokumentation und SOC-Hinweisen
Arbeitsumgebung
Die Laborumgebung enthält vorbereitete Hosts mit normalen und auffälligen Artefakten. Die Übungen verwenden Live Queries, geplante Abfragen, Beispielergebnisse und kleine Hunting-Szenarien.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -
Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.797 zzgl. MwSt. Inhaus: CHF 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | SOC-Analysten, Threat Hunter, Security Engineers, Incident Responder, Administratoren mit Security-Schwerpunkt |
| Voraussetzungen: | Grundkenntnisse in IT-Sicherheit, Endpoint-Artefakten und SQL. Praktische osquery-Grundlagen sind hilfreich, werden zu Beginn kurz eingeordnet. |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
