Questa sezione copre le basi della sicurezza delle informazioni, costruendo le basi per il resto del corso.​

• Introduzione: Blue Team e fondamenti di Security ​
• Soft Skills: Comunicare correttamente all’interno del Blue Team​
• Controlli di Sicurezza: Security Controls; Physical Security; Network Security; Endpoint Security; E-mail Security;​
• Fondamenti di Networking: Modello OSI Model; Dispositivi e strumenti in ambito Networking; Porte e Servizi; Gestione di una scansione con NMAP​
• Gestione della Security: Analisi dei Rischi; Policies e Procedure; Compliance & Frameworks​

Questa sezione ti insegnerà come combattere il phishing, dalla ricezione di un’e-mail sospetta fino all’adozione di misure difensive.​

• Introduzione: Emails & Phishing; Anatomia di una Email; Impatti del Phishing; Analisi di email di Phishing​
• Tipologie di Email di Phishing: Riconoscimento; Spam; Falsi Positivi; Credential Harvester; Social Engineering; Vishing and Smishing;​
• Tattiche e Tecniche di Phishing: Spear Phishing; Impersonation; Typosquatting; Sender Spoofing; HTML Styling; Allegati; Hyperlinks; URL Shortening; Utilizzo di Servizi Legittimi; Business E-mail Compromise​
• Analisi sulle Email: Artefatti da collezionare, Collezione automatizzate con PhishTool​
• Analisi degli artefatti: Strumenti di visualizzazione, Strumenti di URL & File Reputation; Malware Sandboxing;​
• Azioni Difensive preventive: Tagging External Emails; Filtri AntiSpam;  Attachment Filtering; Sandboxing; Security Awareness Training;​
• Azioni Difensive Reattive: Gestire il processo di risposta;Blocco degli artefatti Email; Blocco degli artefatti WEB & FIle ; Informing Threat Intelligence;​
• Scrittura di Report: E-mail Header; Artefatti; Contenuto del Body; Processi di analisi, strumenti e misure difensive, attività intraprese, etc. ​

Questa sezione tratterà tutto, dagli attori delle minacce alle motivazioni degli attacchi, alle diverse discipline di intelligence sulle minacce e alle campagne globali di malware.​

• Introduzione: Cosa significa Threat Intelligence e principali tipologie, Threat Intelligence Glossary​
• Attacchi, attaccanti & APT: Motivazioni, Attori e Naming Conventions; Cosa sono gli APT​
• IOC (indicatori di compromissione): Cosa sono gli IOC, Cos’è il  MITRE ATT&CK Framework​
• Tactical Intelligence: Threat Exposure: cosa sono, Watchlists e monitoring IOC, Check su Exposure pubbliche, piattaforme di Threat Intelligence; Piattaforme di condivisione su informazioni, MISP dashboard ed installazione​
• Strategic Intelligence: Condivsione Intelligence, acquisizione e distribuzione IOC/TTP, OSINT e la traffic light procedure​
• Campagne Global Malware: Malware utilizzati dai principali Threat Actors Global Campaign: Trickbot, Sodinokibi, Magecart, Emotet

Questa sezione tratta gli artefatti basati su Windows, browser e Linux utili per le indagini forensi digitali.

• Introduzione: Cos’è la la Digital Forensics; Processi di Digital Forensics​
• Basi di Forensics: Introduzione all’acquisizione di Hard Disk & SSD, Analisi e acquisizione di File Systems; Volatilità e Metadati;File Carving, Analisi della memoria, dei file di Paging e di Hibernation, Hashing ed analisi Integrità​
• Digital Evidence: Principi di acquisizione e di conservazione, Disk Imaging con FTK Imager; Live Forensics e Live Acquisition con KAPE;​
• Windows Forensics: Artefatti Windows SO e WEB​
• Linux Forensics: Artefatti Linux SO e Web, Shadow & Passwd; Password Cracking​
• Volatilità: Cosa significa e come la si può gestire​
• Autopsy: Cos’è, come si installa e come funzione​

Informazioni sulla sicurezza e monitoraggio degli eventi: questa sezione presenta i componenti di SIEM e come analizzare i registri durante le indagini di sicurezza.​

• Introduzione: Security Information Management (SIM), Security Event Management (SEM), Cosa è un SIEM e quali sono le principali piattaforme​
• Logging: Cos’è il Logging?, Syslog, Logs Event Viewer Windows,Sysmon, altri log​
• Aggregazione: Log Aggregation: cos’è e come funziona End of Section Review​
• Correlazione: Normalizzazione & Processing dei log di monitoring, regole per SIEM​
• Splunk: Cos’è Splunk, come si installa e come funziona e nozioni fondamentali di Splunk​

Questa sezione ti prepara a difendere le organizzazioni e a rispondere efficacemente agli attacchi informatici con un approccio strutturato.​

• Introduzione: Cosa è una Incident Response; differenza tra Security Incident ed Eventi di Security; Lifecycle, CSIRT e Lifecycle CERT​
• Fase di Preparazione IR: Incident Response Plan; Incident Response Teams; Asset Inventory & Risk Assessments; Gestione e prevenzione tramite utilizzo DMZ; Strumenti di difesa a livello Host e a livello Network; Protezione fisica e sistemi IDS; Deploy di una sonda SNORT​
• Detection & Analysis: Principali eventi & Incidents; utilizzo di Baselines e profili comportamentali; Introduzione a Wireshark (GUI) ed analisi PCAP, gestione regole YARA e Hunting per la detecion di problematiche di Security, CMD & PowerShell come strumenti per la Incident Response​
• Contenimento, reazione e Recovery: Contenimento Incident, acquisizione immagini valide per la  Forensic, identificazione, analisi e rimozione dei Malicious Artifacts, identificazione delle Root Cause e Recovery dell’ambiente​
• Analisi Incident & Reporting: Cosa ha funzionato e cosa no? Cosa può essere migliorato; Importanza della  Documentazione, Gestione delle metriche di Incident Response​
• MITRE ATT&CK: Descrizione delle fasi: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration​