SANS Institute - FOR572: Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response « Atrás
Tipo de edición Edición única (desempregados/as e ocupados/as)
Metodoloxía Virtual
Tipo CURSO
Matrícula Gratuíta
Data inicio 13/04/2026
Data fin 18/04/2026
Certificación oficial Si
Exame GIAC Network Forensic Analyst (GNFA)
Nº inscritos 21
PDF
Ficha
SANS Institute - FOR572: Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
Datos da edición
  • Período de inscrición : 09/03/2026 - 12/03/2026
  • Proba de selección : 13/03/2026 (16:00)
  • Horario : De luns a sábado de 10:00 a 18:00 horas. O luns de 9:30 a 18 horas.
  • Número de prazas : 9
  • Período de docencia : 13/04/2026 - 18/04/2026
  • Criterios de selección :
    • Mediante curriculum vitae

Leva os teus coñecementos forenses baseados en sistemas ao ámbito da rede. Incorpora evidencia de rede nas túas investigacións, obtén conclusións máis sólidas e resolve os casos con maior rapidez.

Xa sexa que xestións un incidente de intrusión, un caso de roubo de datos, un uso indebido por parte de empregados ou participes na detección proactiva de adversarios, a rede adoita ofrecer unha visión inigualable do incidente. SANS FOR572™ cobre as ferramentas, tecnoloxías e procesos necesarios para integrar fontes de evidencia de rede nas túas investigacións, mellorar a calidade dos achados e acelerar a resolución dos casos.

En FOR572™, centrámonos no coñecemento necesario para examinar e caracterizar comunicacións que ocorreron no pasado ou que continúan producíndose. Mesmo se o atacante remoto máis sofisticado comprometeu un sistema mediante un exploit indetectable, ese sistema debe comunicarse a través da rede. Sen canles de comando e control e de exfiltración de datos, o valor dun sistema comprometido redúcese case a cero. Dito doutro xeito: os actores maliciosos están a se comunicar — nós ensinarémosche a escoitalos.

Dita actuación realizase no marco do proxecto denominado “Centro de innovación e competencia en ciencias da saúde, transporte intelixente, industria conectada e excelencia operativa” - “Proxecto RETECH CCAA”, financiado ao 75% polo INCIBE con cargo en fondos NextGenerationEU provenientes do mecanismo MRR e 25% fondos con fondos propios da Comunidade Autónoma.

Nextgen Incibe
Obxectivos :

Ao finalizar o curso, poderás: 

  • Extraer arquivos a partir de capturas de paquetes de rede e arquivos de caché de proxy, facilitando análises posteriores de malware ou determinacións concluíntes de perda de datos
  • Utilizar datos históricos de NetFlow para identificar eventos relevantes ocorridos no pasado, permitindo unha delimitación precisa do alcance do incidente
  • Realizar enxeñería inversa de protocolos de rede personalizados para identificar as capacidades de comando e control do atacante e as súas accións 
  • Descifrar tráfico SSL/TLS capturado para identificar as accións do atacante e os datos extraídos da vítima 
  • Aproveitar datos de protocolos de rede habituais para aumentar a precisión e solidez dos achados da investigación 
  • Identificar oportunidades para colleitar evidencia adicional baseándose nos sistemas e plataformas existentes dentro da arquitectura de rede 
  • Analizar tráfico de protocolos de rede comúns para detectar patróns de actividade ou accións específicas que requiran unha investigación máis profunda
  • Integrar datos de logs nun proceso analítico integral, cubrindo lagoas de información que poden remontarse a períodos afastados no tempo 
  • Comprender como os atacantes utilizan ferramentas de intermediario (man-in-the-middle) para interceptar comunicacións aparentemente seguras
Dirixido a :

 

Quen debería asistir?

  • Membros de equipos de resposta a incidentes (IR)
  • Membros de equipos de threat hunting
  • Axentes de forzas e corpos de seguridade, investigadores e corpos federais
  • Persoal de Centros de Operacións de Seguridade (SOC) e profesionais de seguridade da información
  • Defensores de rede
  • Responsables e xestores de seguridade da información
  • Enxeñeiros de redes
  • Profesionais de tecnoloxías da información (TI)
Perfil do docente :

O relator será Phil Hagen
SANS Certified Intructor
Principal Information Security Researcher at Red Canary
https://www.sans.org/profiles/phil-hagen

  • Duración :
     50 horas
  • Metodoloxía :
     Virtual
  • Matrícula :
     Gratuíta
  • Tecnoloxía :
    • SANS
    • Ciberseguridade/Ciberseguridad
  • Beneficios :
    • Diploma de asistencia
    • Opción gratuita dun exame de certificación oficial
  • Módulos transversais :
    • Igualdade de 5 horas
  • Aplicacións e datos de captura de paquetes
  • Consideracións específicas para procesos forenses centrados en rede
  • Tipos e fontes de evidencia de rede
  • Desafíos arquitectónicos de rede e oportunidades para investigadores
  • Consideracións de OPSEC e pegada en investigacións
  • Análises de protocolos de rede

Protocolos crave

  • Hypertext Transfer Protocol (HTTP)
  • Domain Name System (DNS)
  • File Transfer Protocol (FTP)
  • Server Message Block (SMB) e protocolos relacionados de Microsoft
  • Simple Mail Transfer Protocol (SMTP)
  • Ferramentas comerciais de análise forense de rede
  • Ferramentas e librerías automatizadas

NetFlow

  • Introdución
  • Métodos de recolección Ferramentas
  • NetFlow de código aberto

Redes sen fíos

  • Captura de tráfico inalámbrico
  • Artefactos forenses útiles do tráfico inalámbrico
  • Métodos de ataque comúns e a súa detección

Datos de logs para complementar a análise de rede

  • Syslog
  • Microsoft Windows Event Forwarding
  • Logs de servidores HTTP
  • Plataformas de Network Security Monitoring (NSM)
  • Recolección, agregación e análise de logs
  • Análise de servidores proxy web

Cifrado

  • Transport Layer Security (TLS)
  • Perfilado de clientes TLS sen interceptación
  • Ataques de intermediario (Man-in-the-Middle) e interceptación TLS

Análise profunda de paquetes

  • Enxeñería inversa de protocolos de rede
  • Reconstrución de carga útil (payload)