Advanced Defensive Security Blue Team

Cyber Security

หลักสูตร Advanced Defensive Security Blue Team

ความมั่นคงปลอดภัยเชิงรับ Blue Team ขั้นสูง

เป็นหลักสูตรเชิงลึกด้านการป้องกัน ตรวจจับ วิเคราะห์ และตอบสนองเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ในระดับองค์กร โดยมุ่งเน้นให้ผู้เข้ารับการฝึกอบรมสามารถทำหน้าที่เป็นทีมป้องกัน (Blue Team) และศูนย์ปฏิบัติการความมั่นคงปลอดภัย (Security Operation Center: SOC) ได้อย่างมืออาชีพ

เนื้อหาหลักสูตรครอบคลุมกรอบการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ (Cyber Security Incident Management) ตามมาตรฐานสากล เช่น NIST SP 800-61, ISO/IEC 27035 และแนวทาง SANS PICERL รวมถึงการปฏิบัติงานจริงใน SOC ตั้งแต่การเฝ้าระวังภัยคุกคาม การวิเคราะห์ Log จากแหล่งข้อมูลหลากหลาย การใช้เครื่องมือ SIEM/EDR/NDR/XDR การทำ Threat Hunting และการทำ Digital Forensics ในระดับพื้นฐานถึงระดับปฏิบัติการจริง

ผู้เข้ารับการฝึกอบรมจะได้เรียนรู้จากกรณีศึกษา (Case Study) และฝึกปฏิบัติจริง (Hands-on Lab) ผ่านสถานการณ์จำลอง (Scenario-based Exercise) เช่น Ransomware Incident, Phishing Campaign, Brute-force Attack, Insider Threat และ Advanced Persistent Threat (APT) เพื่อให้พร้อมนำความรู้ไปใช้ในองค์กรจริงได้ทันที

ระยะเวลา 30 ชั่วโมง

อบรม 5 วัน | 9.00 น. - 16.00 น.

ระดับ Advance

ระดับความรู้ขั้นสูง


ราคา

34,500 บาท

เนื้อหาการอบรม

  • Day 1: SOC Foundation & Threat Landscape
    • บทนำเกี่ยวกับศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (Security Operations Center: SOC): บทบาท หน้าที่ และโครงสร้างทีม (Tier 1–3, Incident Responder, Threat Hunter และ Digital Forensics & Incident Response (DFIR))
    • รูปแบบการจัดตั้งศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (SOC Operating Models): In-house SOC, Managed Security Service Provider (MSSP) และ Hybrid SOC
    • แนวโน้มภัยคุกคามไซเบอร์ (Cyber Threat Landscape) เช่น Malware, Ransomware, Insider Threats และ Advanced Persistent Threats (APT)
    • กรอบการทำงาน NIST Cybersecurity Framework (CSF) 2.0
    • ชุดแนวปฏิบัติ CIS Controls v8
    • กรอบแนวคิด MITRE D3FEND
    • กรอบแนวคิด Cyber Kill Chain และ MITRE ATT&CK Framework สำหรับการวิเคราะห์ Tactics, Techniques, and Procedures (TTPs)
    • พื้นฐานของ Incident Response Lifecycle และความเชื่อมโยงกับการปฏิบัติงานของ Security Operations Center (SOC)
  • Day 2: Incident Response Lifecycle & Log Analysis
    • ศึกษาแนวทางและมาตรฐานการรับมือเหตุการณ์ NIST SP 800-61, ISO/IEC 27035, SANS PICERL
    • ขั้นตอนการตอบสนองต่อเหตุการณ์ Preparation, Detection & Analysis, Containment, Eradication, Recovery, Post-Incident Activity
    • เทคโนโลยีและแหล่งข้อมูลสำหรับการตรวจจับเหตุการณ์ (Detection Technologies and Data Sources): EDR, SIEM, SOAR, IDS/IPS, Network Sensors, Firewall Logs, Endpoint Logs, System Logs, Application Logs, Cloud Logs
    • การวิเคราะห์ Log เพื่อการตรวจจับเหตุการณ์ (Security Log Analysis): Windows Event Logs, Linux Audit Logs, Firewall Logs, Proxy Logs, DNS Logs, Web Server Logs และ Authentication Logs
    • การคัดกรองเหตุการณ์ (Incident Triage) และการจัดลำดับความสำคัญของเหตุการณ์ (Incident Severity Classification & Prioritization)
    • Workshop: วิเคราะห์เหตุการณ์จาก Log จริงหรือสถานการณ์จำลอง (Log Analysis Workshop) เช่น Suspicious Login, Malware Activity และ Brute Force Attack Scenario
  • Day 3: SOC Operations & SIEM Use Cases
    • ภาพรวมสถาปัตยกรรมศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (Security Operations Center: SOC) และเทคโนโลยีหลัก ได้แก่ SIEM, SOAR, EDR, NDR/XDR และ Case Management
    • การออกแบบและพัฒนา SIEM Use Cases และ Detection Rules
    • การเขียน Query (เช่น KQL, SPL หรือภาษาที่เทียบเท่า) เพื่อค้นหาเหตุการณ์ผิดปกติและตรวจจับภัยคุกคา
    • การจัดการ Alert: การคัดกรอง Alert (Alert Triage), การจัดการ False Positive และกระบวนการยกระดับเหตุการณ์ (Escalation Process)
    • Workshop:
    • วิเคราะห์ Alert จริงจากระบบ SOC (SOC Alert Analysis Lab)
    • สร้าง Dashboard และ Detection Rules พื้นฐานบนระบบ SIEM
    • ออกแบบ Incident Response Playbooks สำหรับกรณี Phishing, Malware Infection, Unauthorized Access และ Ransomware
  • Day 4: Threat Hunting & Digital Forensics Essentials
    • แนวคิดการค้นหาภัยคุกคามเชิงรุก (Threat Hunting): Proactive Security, Hypothesis-driven Hunting และการประยุกต์ใช้ MITRE ATT&CK ในการออกแบบ Threat Hunt
    • การตั้งสมมติฐาน (Hunting Hypothesis) เพื่อค้นหาพฤติกรรม Lateral Movement, Persistence และ Privilege Escalation
    • Workshop: ปฏิบัติการ Threat Hunting บนสภาพแวดล้อมห้องปฏิบัติการ (Lab) โดยวิเคราะห์ Log และพฤติกรรมเพื่อค้นหา Indicators of Compromise (IoCs) และ Indicators of Attack (IoAs)
    • พื้นฐานด้านนิติวิทยาศาสตร์ดิจิทัล (Digital Forensics): Memory Forensics, Disk Forensics และ Network Forensics
    • เครื่องมือด้าน Digital Forensics เบื้องต้น: Volatility, Autopsy, Wireshark และการประยุกต์ใช้ในกระบวนการ Incident Response
    • Workshop: วิเคราะห์ไฟล์ PCAP (Packet Capture) เพื่อระบุพฤติกรรมผิดปกติ Indicators of Compromise (IoCs) และนำไปประยุกต์ใช้กับ SIEM และ Detection Rules
  • Day 5: Containment, Eradication, Recovery & Reporting
    • กลยุทธ์การควบคุมเหตุการณ์ (Containment Strategies): Short-term Containment, Long-term Containment, Isolation Techniques และการป้องกัน Lateral Movement
    • การกำจัดภัยคุกคาม (Eradication): Malware Removal Techniques, System Cleaning, Vulnerability Remediation และ Credential Reset
    • การฟื้นฟูระบบ (Recovery): System Rebuild, System Integrity Validation และ Service Restoration
    • การจัดทำเอกสารและรายงานเหตุการณ์ (Incident Documentation & Reporting)
    • Technical Incident Report
    • Executive Summary
    • Evidence Handling และ Chain of Custody
    • กิจกรรม Lessons Learned และ Continuous Improvement: Root Cause Analysis (RCA), การปรับปรุง Detection Rules และ SIEM Correlation Rules รวมถึงการกำหนด KPI และ Metrics สำหรับการประเมินประสิทธิภาพของ Incident Response
    • Final Exercise: จำลองเหตุการณ์ด้านความมั่นคงปลอดภัยแบบครบวงจร (End-to-End Incident Response and SOC Scenario) โดยให้ผู้เข้าอบรมดำเนินการตรวจจับ วิเคราะห์ ตอบสนองต่อเหตุการณ์ และจัดทำรายงานสรุปสำหรับผู้บริหาร