Ultimate AI-Powered Network & System Cybersecurity Defense Masterclass

หลักสูตรนี้ถูกออกแบบขึ้นเพื่อตอบโจทย์โลกความปลอดภัยไซเบอร์ยุคใหม่ ที่ภัยคุกคามไม่ได้มาในรูปแบบเดิมอีกต่อไป และการป้องกันด้วยเครื่องมือหรือกฎ (rule-based) เพียงอย่างเดียวไม่เพียงพออีกแล้ว องค์กรในปัจจุบันต้องเผชิญกับการโจมตีที่ซับซ้อน รวดเร็ว และมีการปรับตัวตลอดเวลา หลักสูตรนี้จึงผสานแนวคิด Cybersecurity Defense, Threat Hunting และ Vulnerability Management เข้ากับพลังของ Artificial Intelligence (AI) เพื่อยกระดับการวิเคราะห์ การตรวจจับ และการตอบสนองภัยคุกคามให้มีความแม่นยำ รวดเร็ว และมีประสิทธิภาพในระดับที่องค์กรต้องการจริง

เนื้อหาภายในหลักสูตรครอบคลุมตั้งแต่การวิเคราะห์ภัยคุกคามเชิงลึก (Threat Intelligence), การป้องกันและตรวจจับระดับ Endpoint (EDR), การเสริมความมั่นคงของระบบ Windows และ Active Directory, การตรวจจับและรับมือ Ransomware, การวิเคราะห์ Network Traffic ด้วย Zeek, การทำ Incident Response และ Digital Forensics ไปจนถึงการใช้เครื่องมือระดับองค์กรอย่าง Wazuh และ Splunk ในการทำ Security Monitoring และ Threat Hunting โดยจุดเด่นสำคัญคือการแทรก AI เข้าไปในทุกกระบวนการ ตั้งแต่การวิเคราะห์ Log, การเชื่อมโยงเหตุการณ์ (Correlation), การตรวจจับพฤติกรรมผิดปกติ (Anomaly Detection) ไปจนถึงการแนะนำแนวทางตอบสนองแบบอัตโนมัติ ทำให้ผู้เรียนไม่เพียง “มองเห็น” ภัยคุกคาม แต่สามารถ “เข้าใจและคาดการณ์” ได้ล่วงหน้า

หลักสูตรนี้เน้นการเรียนรู้แบบ Hands-on อย่างเข้มข้น ผ่าน Lab ที่ออกแบบให้สอดคล้องกับสถานการณ์จริงในองค์กร ผู้เรียนจะได้ฝึกใช้งานเครื่องมือจริง วิเคราะห์ Log จริง และสร้างระบบ Security Monitoring ในลักษณะ SOC (Security Operations Center) พร้อมทั้งทดลองใช้ AI ในการช่วยวิเคราะห์และตัดสินใจ ซึ่งเป็นทักษะที่กำลังเป็นที่ต้องการสูงในตลาดแรงงาน ผู้เรียนจะสามารถนำความรู้ไปประยุกต์ใช้ได้ทันที ไม่ว่าจะเป็นการทำงานในสาย System, Network, Security Engineer, SOC Analyst หรือแม้กระทั่งการยกระดับองค์กรให้เข้าสู่แนวทาง AI-Driven Cybersecurity Operations ได้อย่างเป็นรูปธรรมและยั่งยืน

ผู้ที่เหมาะเข้ารับการอบรม

  • Cybersecurity Analyst
  • SOC Analyst
  • Security Operations Engineer
  • Digital Forensics Analyst
  • Blue Team Engineer
  • Security Engineer
  • Network Security Engineer
  • System Security Engineer
  • IT Security Specialist
  • Security Operations Center (SOC) Engineer
  • Endpoint Security Engineer
  • EDR Specialist
  • Network Engineer
  • System Administrator
  • IT Infrastructure Engineer

ระยะเวลาเรียน : 3 วัน

รายละเอียดหลักสูตร

Cybersecurity Threats and Mechanism

  • ทำความเข้าใจ Cyber Threats – มัลแวร์ (Malware), แรนซัมแวร์ (Ransomware), การโจมตีแบบ Zero-Day
  • Cybersecurity Frameworks – NIST, CIS, MITRE ATT&CK
  • AI-assisted Threat Intelligence Analysis
  • การใช้ AI Mapping Log เข้ากับ MITRE ATT&CK แบบอัตโนมัติ
  • ใช้ AI วิเคราะห์แนวโน้ม Threat (Trend & Pattern Recognition)
  • ใช้ AI ช่วยจัดลำดับความรุนแรงของ Threat

Endpoint Security & Threat Protection

  • Understanding Endpoint Threats
    • Malware, Ransomware, Zero-Day Attacks
    • Endpoint Security Frameworks (MITRE ATT&CK)
  • EDR Architecture and Its Key Components
    • คำนิยามและแนวคิดหลักของ EDR
    • การวางแผนและข้อควรพิจารณาก่อนการติดตั้ง EDR และรูปแบบการติดตั้ง (Deployment Models)
  • Advanced Endpoint Security Techniques and Best Practices
    • แนวปฏิบัติที่ดีที่สุดและข้อแนะนำสำหรับการป้องกัน Endpoint
    • การทำ Endpoint Hardening
  • ใช้ AI วิเคราะห์พฤติกรรม Process (Behavior-based Detection)
  • ใช้ AI วิเคราะห์ Command-line anomaly
  • ใช้ AI ช่วย classify malware (file-based / fileless)
  • ใช้ AI-assisted EDR (ลด False Positive)
  • Lab 1: Endpoint Detection & Response (EDR + Sysmon)
  • Lab 2: ติดตั้งและกำหนดค่า Sysmon ด้วย Windows Event Forwarding
  • Lab 3: ตรวจจับการรัน PowerShell ที่น่าสงสัยโดยใช้ Sigma rules
  • Lab 4: ตรวจจับการทำ LSASS memory dumping ด้วย Sysmon + Wazuh
  • Lab 5: ตรวจจับการเปลี่ยนชื่อไฟล์หรือนามสกุลที่เกี่ยวข้องกับแรนซัมแวร์
  • Lab 6: ตรวจจับการทำ process injection โดยดูจาก Parent PID ที่ไม่ตรงกัน
  • Lab 7: วิเคราะห์ fileless malware ผ่าน command-line logs
  • Lab 8: ใช้ AI วิเคราะห์ Sysmon Log และ ช่วยอธิบายเหตุการณ์ (Explainable Detection)
    • เปรียบเทียบ Rule-based vs AI Detection

Windows Security & Incident Response

  • Windows Security Hardening (Windows 10/11 & Server 2022/2025)
  • PowerShell Security & Hardening
  • Capturing & Analyzing Windows Event Logs
  • AI วิเคราะห์ Event ID (4624, 4625, 4688)
  • AI ตรวจจับพฤติกรรม login ผิดปกติ
  • AI Correlation: Login สู่ Privilege Escalation จบที่ Lateral Movement
  • AI แนะนำ Incident Response อัตโนมัติ

Windows Server Security Fundamentals & Hardening

  • Windows Server Security Architecture
    • ความเข้าใจเกี่ยวกับโมเดลความปลอดภัยของ Windows Server 2019/2022
    • Secure Boot, TPM, และ Windows Defender Security Stack
  • Implementing Active Directory (AD) Security Best Practices
    • การรักษาความปลอดภัย Domain Controllers (DC)
    • Hardening Active Directory (LDAPS, Tiered Admin Model)
  • Advanced Group Policy Object (GPO) Security Configurations
    • GPO ด้านความปลอดภัยที่จำเป็นสำหรับ Windows Server Hardening
    • หลักการ Least Privilege Access และ Role-Based Access Control (RBAC)
  • Windows Security Hardening & Logging Lab
    • Lab 8: การนำ Group Policy Objects (GPOs) ไปใช้สำหรับการทำ Hardening (LAPS, ปิดใช้งาน SMBv1, AppLocker)
    • Lab 9: การกำหนดค่า Windows Firewall และนโยบายการตรวจสอบขั้นสูง (Advanced Auditing Policies)
    • Lab 10: การตรวจสอบและบันทึก Windows Event IDs ที่สำคัญ (4624, 4625, 4688, 1102)
    • Lab 11: การวิเคราะห์การล็อกอินที่น่าสงสัยและการยกระดับสิทธิ์ (Privilege Escalation) ด้วยตนเอง

Ransomware Detection & Protection

  • Ransomware Attack Lifecycle
    • Delivery, Execution, Privilege Escalation, Encryption
    • Ransomware Attack Vectors และภาพรวมของภัยคุกคาม
    • การโจมตีโดยใช้ข้อมูลประจำตัว (Identity-based attacks)
  • Building a Secure Foundation
    • หลักการออกแบบ Zero-trust
    • Network access
    • การจัดการช่องโหว่และการอัปเดตแพตช์ (Vulnerability and patch management)
    • การควบคุมข้อมูลประจำตัวและการเข้าถึง (Identity and access control)
    • การบันทึก Log และการตรวจสอบความปลอดภัย (Security logging and monitoring)
  • Techniques to Detect & Prevent Ransomware
    • File Integrity Monitoring (FIM)
    • Network Traffic Analysis เพื่อหาความผิดปกติ
  • Ransomware Countermeasures – Windows Endpoints, Identity
    • Microsoft Defender และ antimalware
    • Update Management
    • การรักษาความปลอดภัย Identity ของผู้ใช้
    • การรักษาความปลอดภัย Active Directory
    • การรักษาความปลอดภัยบริการอีเมล
  • Best Practices for Protecting Windows from Ransomware Attacks
    • แนวปฏิบัติที่ดีที่สุดและการตั้งค่าความปลอดภัยใน Windows
    • การจัดการ Remote desktop
    • Administrative shares
    • LAPS และการจำกัดการใช้งานบัญชี Local
    • แนวปฏิบัติที่ดีที่สุดของ Windows Firewall
    • Tamper Protection
    • การอัปเดตแพตช์โครงสร้างพื้นฐานอัตโนมัติ
    • File Server Resource Manager และ file groups
  • AI ตรวจจับ “ก่อน encryption” (Early Warning)
  • AI วิเคราะห์ file access behavior
  • AI Predict ransomware probability
  • AI ช่วยแนะนำ mitigation strategy
  • Ransomware Detection & Response Lab
    • Lab 12: จำลองการโจมตีด้วยแรนซัมแวร์ (เช่น FakeEncryptor พร้อมนามสกุล .enc)
    • Lab 13: ตรวจจับพฤติกรรมการเข้ารหัสไฟล์โดยใช้ Defender, Sysmon และ Wazuh (Event ID 11)
    • Lab 14: วิเคราะห์ไฟล์ที่ถูกเข้ารหัสและดำเนินการกู้คืน (เช่น Shadow Copy หรือ Backup)
    • Lab 15: สร้างและใช้นโยบายการอนุญาตแอปพลิเคชัน (Application Whitelisting) โดยใช้ SRP/AppLocker

Network Security Fundamentals & Advanced Threats

  • Core Network Security Concepts
    • Network Segmentation & Micro-Segmentation
    • Secure Network Topologies (DMZ, VLAN, VPN)
  • Incident Response & Forensics
    • การเตรียมพร้อมและตอบสนองต่อเหตุการณ์ด้านความปลอดภัย
    • การระบุตัวแรนซัมแวร์, การติดมัลแวร์ และเหตุการณ์การขโมยข้อมูล (Data exfiltration)
    • การใช้เครื่องมือต่างๆ เช่น Autopsy, FTK Imager และ EnCase สำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์
    • วิธีการกู้คืนและคืนค่าระบบหลังเกิดเหตุ
  • Threat Modeling & Risk Assessment
  • MITRE ATT&CK Framework
  • การระบุจุดอ่อนในโครงสร้างพื้นฐานเครือข่าย
  • AI วิเคราะห์ Network Flow
  • AI ตรวจจับ anomaly traffic
  • AI วิเคราะห์ lateral movement pattern
  • AI ช่วย Risk Assessment
  • Incident Response & Forensics Lab
    • Lab 16: จับภาพหน่วยความจำ (Memory Image) และวิเคราะห์โดยใช้ Volatility (เช่น process list, netscan)
    • Lab 17: วิเคราะห์ Disk Image ด้วย Autopsy (file carving, ไฟล์ที่ถูกลบ, browser cache)
    • Lab 18: ตรวจสอบการโจมตีผ่าน USB โดยใช้ Event Logs, Autoruns และการตรวจสอบกิจกรรมของไฟล์
  • AI วิเคราะห์ Memory Artifact
  • AI Identify malicious process จาก dump
  • AI วิเคราะห์ timeline ของ attack
  • AI ช่วยสรุป Incident Report

Threat Detection & Incident Response with Wazuh

  • Introduction to Wazuh Ecosystem
    • Architecture Overview: ทำความเข้าใจการทำงานร่วมกันระหว่าง Wazuh Indexer, Server, Dashboard และ Agents
    • Key Capabilities: สำรวจ Log Analysis, File Integrity Monitoring (FIM), การตรวจจับมัลแวร์ และ Active Response
    • Agent Deployment: แนวปฏิบัติที่ดีที่สุดสำหรับการติดตั้ง Wazuh Agents บนระบบ Windows และ Linux
  • AI วิเคราะห์ Alert จาก Wazuh
  • AI ลด False Positive
  • AI Correlation multi-source logs
  • AI สรุป Incident แบบอัตโนมัติ
  • Lab 19: File Integrity Monitoring (FIM)
  • Lab 20: การตรวจจับ Brute Force Attacks & Active Response
  • Lab 21: การตรวจจับช่องโหว่และการจัดการ Inventory

Network Security Monitoring (NSM) and Intrusion Detection & Network Traffic Analysis with Zeek

  • Concepts: ทำความเข้าใจว่าทำไม Zeek ถึงเป็นเครื่องมือวิเคราะห์เครือข่ายที่ทรงพลังมากกว่าการเป็นแค่ IDS/IPS แบบเดิม
  • Architecture: ภาพรวมของ Zeek stack: Packet -> Event Engine -> Script Interpreter
  • Data Structure: แนะนำรูปแบบ “Rich Log” และวิธีที่ Zeek แปลง Traffic ดิบให้เป็น Metadata ที่ค้นหาได้
  • Standard Logs: ฝึกใช้ Log หลักๆ เช่น conn.log, http.log, dns.log, และ ssl.log
  • Scripting Basics: เรียนรู้วิธีการใช้ Zeek scripts เพื่อขยายขีดความสามารถและทำให้อัตโนมัติในการวิเคราะห์
  • AI วิเคราะห์ DNS anomaly (DGA / Tunneling)
  • AI ตรวจจับ Beaconing
  • AI วิเคราะห์ Traffic Pattern
  • AI ช่วยเขียน Detection Logic
  • Lab 22: การวิเคราะห์ Network Flows (conn.log)
  • Lab 23: HTTP & DNS Visibility
  • Lab 24: SSL/TLS Certificate Auditing
  • Lab 25: Automated File Extraction
  • Lab 26: การแจ้งเตือนแบบเรียลไทม์ด้วย Zeek Scripts

Advanced Threat Hunting & Incident Response

  • Network Threat Hunting Techniques
  • การล่า (Hunting) เพื่อหา Lateral Movement และ Data Exfiltration

Security Operations with Splunk Enterprise: Log Analysis, Detection & Threat Hunting

  • Splunk Fundamental Concepts
    • พลังของข้อมูลเครื่อง (Machine Data): ทำความเข้าใจว่า Splunk เปลี่ยนข้อมูลที่ไม่มีโครงสร้าง (Unstructured Data) ให้เป็นเหตุการณ์ที่ค้นหาได้ (Searchable Events) อย่างไร
    • Splunk Architecture: ภาพรวมของระบบ Forwarder, Indexer และ Search Head
    • The Search Interface: การใช้งาน Splunk Web UI และความเข้าใจเกี่ยวกับ Time Picker
  • Lab 27: การค้นหาขั้นพื้นฐาน & Field Extraction
  • Lab 28: การแปลงข้อมูล & การวิเคราะห์เชิงสถิติ
  • Lab 29: การทำ Dashboarding & Alerting