Ultimate Network and System Cybersecurity Defense Masterclass

เป็นหลักสูตรฝึกอบรมแบบเข้มข้นที่เน้นการปฏิบัติจริง และสามารถนำมาใช้งานได้สำหรับ องค์กรต่างๆเช่น ออกแบบมาสำหรับผู้ที่ดูแลระบบเครือข่าย และระบบ Server ต่างๆในองค์กร รวมทั้งผู้เชี่ยวชาญด้านไอที นักวิเคราะห์ความปลอดภัย และทีม SOC ที่ต้องการปกป้อง ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ในสภาพแวดล้อมของ Windows Endpoint Windows Server ระบบเครือข่าย Web Application Server  และ Cloud

ด้วยการผสมผสานระหว่าง กลยุทธ์การโจมตีเชิงรุก เทคนิคการป้องกันขั้นสูง และมีการทำ Lab ภาคปฏิบัติในห้องเรียน หลักสูตรนี้จะมอบทักษะที่จำเป็นในการป้องกัน Windows Station, Windows Server, Linux, ระบบ Cloud และสภาพแวดล้อมระดับองค์กร จากภัยคุกคามทางไซเบอร์สมัยใหม่ รวมถึงแรนซัมแวร์และ APTs (Advanced Persistent Threats)

รายละเอียดหลักสูตร

Cybersecurity Fundamentals

  • Understanding Cyber Threats – Malware, Ransomware, Zero-Day Attacks
  • Cybersecurity Frameworks – NIST, CIS, MITRE ATT&CK
  • Network Security Basics – Firewalls, IDS/IPS, Zero Trust Architecture

Endpoint Security & Threat Protection

  • Introduction to Endpoint Security and EDR
  • Understanding Endpoint Threats
    • Malware, Ransomware, Zero-Day Attacks
    • Endpoint Security Frameworks (MITRE ATT&CK)
  • EDR Architecture and Its Key Components
    • Definition and core concepts of EDR
    • Key features and capabilities of EDR tools
    • The planning and considerations before deploying EDR and deployment models
  • Advanced Endpoint Security Techniques and Best Practices
    • Best Practices and Recommendations for Endpoint Protection
    • Endpoint hardening
  • Lab 1 : Endpoint Detection & Response (EDR + Sysmon)
  • Lab 2 : Install and configure Sysmon with Windows Event Forwarding
  • Lab 3: Detect suspicious PowerShell execution using Sigma rules
  • Lab 4 : Detect LSASS memory dumping with Sysmon + Wazuh
  • Lab 5 : Detect ransomware-related file renaming or extension changes
  • Lab 6: Detect process injection using parent PID mismatch
  • Lab 7: Analyze fileless malware via command-line logs
  • Endpoint Security Tools & Best Practices
    • Microsoft Defender for Endpoint
    • EDR (Endpoint Detection & Response) Solutions
  • Windows Security & Incident Response
    • Windows Security Hardening (Windows 10/11 & Server 2019/2022)
    • PowerShell Security & Hardening
    • Digital Forensics & Incident Response (DFIR)
    • Capturing & Analyzing Windows Event Logs
  • Windows Server Security Fundamentals & Hardening
    • Windows Server Security Architecture
      • Understanding Windows Server 2019/2022 Security Models
      • Secure Boot, TPM, and Windows Defender Security Stack
    • Implementing Active Directory (AD) Security Best Practices
      • Securing Domain Controllers (DC)
      • Hardening Active Directory (LDAPS, Tiered Admin Model)
    • Advanced Group Policy Object (GPO) Security Configurations
      • Essential Security GPOs for Windows Server Hardening
      • Least Privilege Access & Role-Based Access Control (RBAC)

 Windows Security Hardening & Logging Lab

  • Lab 8 : Apply Group Policy Objects (GPOs) for hardening (LAPS, disable SMBv1, AppLocker)
  • Lab 9 : Configure Windows Firewall and advanced auditing policies
  • Lab 10 : Monitor and record key Windows Event IDs (4624, 4625, 4688, 1102)
  • Lab 11 : Analyze suspicious logins and privilege escalation manually

Ransomware Detection & Protection  

  • Ransomware Attack Lifecycle
    • Delivery, Execution, Privilege Escalation, Encryption
    • Ransomware Attack Vectors and the Threat Landscape
    • Identity-based attacks
  • Building a Secure Foundation
    • Zero-trust design principles
    • Network access
    • Vulnerability and patch management
    • Identity and access control
    • Security logging and monitoring
  • Techniques to Detect & Prevent Ransomware
    • File Integrity Monitoring (FIM)
    • Network Traffic Analysis for Anomalies
  • Security Monitoring Using Wazuh, Graylog, ELK Stack, and Splunk Free
    • Introduction to Open-Source Security Monitoring Tools
    • Setting Up Wazuh, Graylog, ELK Stack, and Splunk Free
    • Log Collection, Parsing, and Normalization Techniques
    • Creating Alerts and Real-time Dashboards for Threat Detection
    • Hands-on Labs: Incident Detection and Response Simulation
  • Ransomware Countermeasures – Windows Endpoints, Identity
    • Microsoft Defender and antimalware 
    • Update Management
    • Securing Microsoft Office apps
    • Securing the web browser
    • Securing user identity   
    • Securing Active Directory  
    • Securing email services
  • Ransomware Countermeasures – Networking and Zero-Trust Access
    • Attackers and lateral movement
    • Providing users with secure access to services
    • Remote management services
    • DDoS protection
  • Best Practices for Protecting Windows from Ransomware Attacks
    • Best practices and security settings in Windows
    • Remote desktop management
    • Administrative shares
    • LAPS and restrict usage of local accounts
    • Windows Firewall best practices
    • Tamper Protection 
    • Automatic patching of infrastructure 
    • File Server Resource Manager and file groups 

Ransomware Detection & Response Lab

  • Lab 12: Simulate ransomware attack (e.g., FakeEncryptor with .enc extensions)
  • Lab 13: Detect file encryption behavior using Defender, Sysmon, and Wazuh (Event ID 11)
  • Lab 14: Analyze encrypted files and perform recovery (e.g., Shadow Copy or backup)
  • Lab 15 : Create and apply application whitelisting policies using SRP/AppLocker

Network Security Fundamentals & Advanced Threats

  • Core Network Security Concepts
    • Network Segmentation & Micro-Segmentation
    • Secure Network Topologies (DMZ, VLAN, VPN)
  • Incident Response & Forensics
    • Preparing and responding to security incidents
    • Identifying ransomware, malware infections, and data exfiltration events
    • Using tools such as Autopsy, FTK Imager, and EnCase for forensic analysis
  • Forensics Tools & Techniques
    • Windows Forensics: Configuring advanced audit policies and event log collection
    • Using PowerShell for data collection and analysis
    • Investigating Registry Changes, Malicious Processes, and File System Changes
  • Post-Incident Forensics
    • Restoring compromised systems and performing incident recovery
    • Identifying Indicators of Compromise (IoCs) and using YARA Rules
    • Post-incident system restoration and recovery methods
  • Threat Modeling & Risk Assessment
  • MITRE ATT&CK Framework
  • Understanding Advanced Persistent Threats (APT)
  • Identifying Weaknesses in Network Infrastructure

Incident Response & Forensics Lab

  • Lab 16 :  Capture a memory image and analyze it using Volatility (e.g., process list, netscan)
  • Lab 17 :  Analyze disk image with Autopsy ( file carving, deleted files, browser cache)
  • Lab 18 :  Respond to a real-world incident ( isolate host, export logs, notify IR team)
  • Lab 19 :  Investigate USB-based attacks using Event Logs, Autoruns, and file activity auditing
  • Lab 20 :  Respond to credential theft via RDP session (detect and mitigate Mimikatz activity)

Intrusion Detection & Network Traffic Analysis

  • Understanding Network-Based Attacks
  • Man-in-the-Middle (MITM), DNS Spoofing, TCP/IP Hijacking
  • Advanced DDoS Techniques (Botnets, Application-Layer Attacks)

Deploying IDS/IPS for Network Protection

  • Signature-based vs. Anomaly-based Detection

Network Intrusion Detection & Traffic Analysis

  • Lab 21 : Deploy and configure Suricata to detect port scanning and DNS tunneling
  • Lab 22: Capture and analyze real network packets with Wireshark and Suricata logs
  • Lab 23: Simulate TCP SYN flood and detect it using IDS
  • Lab 24: Detect DNS exfiltration using custom Suricata rules and Wazuh alerts
  • Lab 25 : Identify command-and-control (C2) communication patterns in network traffic

Perimeter Security & Firewalls

  • Firewall Configuration and Deployment Models
  • Firewall Placement:
    • Placing firewalls in the network: Perimeter (Edge) Firewall vs Internal (Segmentation) Firewall.
    • Determining the best location for firewalls in a multi-layered defense strategy.
  • Firewall Rule Configuration:
    • Creating and managing firewall rules to control traffic.
    • Rules based on source/destination IP addresses, ports, protocols, and application types.
    • Implementing Least Privilege Access and defining proper network access control.
  • High Availability and Redundancy:
    • Configuring High Availability (HA) for firewalls, including active/passive and active/active deployments.
    • Techniques like Virtual Router Redundancy Protocol (VRRP) and Hot Standby Router Protocol (HSRP) for ensuring network reliability.
  • Firewall Policies and Best Practices
  • Logging and Monitoring:
    • Configuring firewall logs and alerts for detecting unauthorized access and suspicious activities.
    • Using Syslog or SIEM tools for centralized logging and real-time analysis.

Advanced Threat Hunting & Incident Response

  • Network Threat Hunting Techniques
  • Hunting for Lateral Movement & Data Exfiltration
  • Digital Forensics Process
    • Data collection from Disk Forensics and Memory Forensics
    • Capturing & Analyzing Windows Event Logs and system artifacts
    • Using Volatility for Memory Analysis
  • Forensics Tools & Techniques
    • Windows Forensics: Configuring advanced audit policies and event log collection
    • Using PowerShell for data collection and analysis
    • Investigating Registry Changes, Malicious Processes, and File System Changes
  • Post-Incident Forensics
    • Restoring compromised systems and performing incident recovery
    • Identifying Indicators of Compromise (IoCs) and using YARA Rules
    • Post-incident system restoration and recovery methods

Threat Hunting & MITRE ATT&CK Simulation Lab

  • Lab 26 : Execute TTPs using Atomic Red Team (e.g., T1059, T1003, T1547)
  • Lab 27 : Perform threat hunting using KQL queries in Microsoft Sentinel or Wazuh
  • Lab 28 : Detect persistence via registry modification and scheduled tasks
  • Lab 29: Monitor real-time credential dumping (e.g., Mimikatz detection)

Web Application Threats & Offensive Security

  • Understanding Web Application Security Risks
  • Overview of Web Security Standards: OWASP Top 10, CWE, NIST
  • Web Application Architecture & Attack Surfaces
  • Exploiting Web Vulnerabilities (Offensive Security)
  • SQL Injection (SQLi): Bypassing Authentication, Data Extraction, Blind SQLi
  • Cross-Site Scripting (XSS): Stored, Reflected, DOM-Based
  • Cross-Site Request Forgery (CSRF): Exploiting Unauthorized Actions

Advanced Web Attacks

  • Remote Code Execution (RCE) & Command Injection
  • Server-Side Request Forgery (SSRF)
  • Lab 30 : Scanning for Web Vulnerabilities Using Nikto
  • Lab 31 : Detecting SQL Injection Vulnerabilities with SQLMap
  • Lab 32 : Identifying Cross-Site Scripting (XSS) Using Burp Suite Community Edition

เหตุใดท่านควรเรียนหลักสูตรนี้

  1. ความรู้พื้นฐานที่ครบถ้วน – เริ่มต้นด้วยการสร้างพื้นฐานที่มั่นคงเกี่ยวกับการเข้าใจภัยคุกคามไซเบอร์ เช่น Malware, Ransomware และ Zero-Day Attacks
  2. ใช้กรอบงานที่ได้รับการยอมรับ – การเรียนรู้กรอบงานที่สำคัญ เช่น NIST, CIS, และ MITRE ATT&CK ช่วยให้เข้าใจการป้องกันภัยคุกคามในมุมมองเชิงลึก
  3. การเข้าใจการรักษาความปลอดภัยของเครือข่าย – มีการอธิบายถึงแนวทางการป้องกันภัยคุกคามที่เกี่ยวข้องกับเครือข่ายและไฟร์วอลล์ รวมถึงการตั้งค่า Zero Trust Architecture
  4. การป้องกันและการตอบสนองภัยคุกคามในอุปกรณ์ปลายทาง (Endpoint Security) – เรียนรู้วิธีป้องกันและตรวจจับภัยคุกคามในระบบอุปกรณ์ปลายทาง
  5. การแนะนำและการใช้งาน EDR (Endpoint Detection and Response) – ทำความเข้าใจเกี่ยวกับ EDR และวิธีการใช้เครื่องมือ EDR ที่เป็นที่นิยม
  6. การวิเคราะห์ภัยคุกคามในอุปกรณ์ปลายทาง – การตรวจจับภัยคุกคามที่อาจเกิดขึ้นจาก Malware, Ransomware, และ Zero-Day Attacks
  7. การฝึกฝนการตรวจจับเหตุการณ์และการตอบสนอง – ผ่านกรณีศึกษาเช่น WannaCry เพื่อเรียนรู้วิธีป้องกันและจัดการ
  8. การเข้าใจและปฏิบัติตามแนวทางการรักษาความปลอดภัยใน Windows – อาทิเช่น การตั้งค่า Windows Defender และ BitLocker เพื่อเพิ่มความปลอดภัย
  9. การเพิ่มประสิทธิภาพของการใช้ GPO (Group Policy Objects) – เรียนรู้วิธีการใช้ GPO ในการป้องกันภัยคุกคามใน Windows Server
  10. การใช้ Microsoft Sentinel และ Defender – เรียนรู้การใช้เครื่องมือ Microsoft ในการตรวจจับภัยคุกคาม
  11. การตรวจจับการโจมตี Ransomware – การเรียนรู้วิธีการตรวจจับการโจมตี Ransomware ตั้งแต่การเริ่มต้น
  12. เข้าใจการทำงานของ Zero Trust Architecture อย่างละเอียดรวมทั้งวิธีการตั้งค่าใช้งานในองค์กร
  13. การรักษาความปลอดภัยในระบบเครือข่าย – การใช้เครื่องมือและเทคนิคในการป้องกันภัยคุกคามทางเครือข่าย
  14. การตั้งค่า Firewalls และการวางตำแหน่งไฟร์วอลล์ – วิธีการตั้งค่าและการใช้งาน Firewalls เพื่อความปลอดภัยในเครือข่าย
  15. การวิเคราะห์และตอบสนองการโจมตีในเครือข่าย – การตรวจจับการโจมตีและการใช้งาน Snort หรือ Suricata
  16. การใช้ Intrusion Detection Systems (IDS) – การตั้งค่า IDS สำหรับการตรวจจับและป้องกันการโจมตี
  17. การใช้งาน DDoS Protection – เรียนรู้การป้องกันการโจมตีแบบ DDoS
  18. การสร้างความเชื่อมโยงระหว่าง Security Tools – การใช้เครื่องมือต่างๆ เช่น EDR, IDS, SIEM เพื่อให้การป้องกันภัยคุกคามมีประสิทธิภาพ
  19. การประเมินความเสี่ยงและการตรวจจับช่องโหว่ – การใช้เครื่องมือเช่น YARA Rules และการวิเคราะห์ช่องโหว่
  20. การวิเคราะห์เว็บแอปพลิเคชัน (Web Application Security) – เรียนรู้เกี่ยวกับ OWASP Top 10 และการโจมตีที่เกี่ยวข้อง
  21. การเจาะระบบและการโจมตีบนเว็บ – การทดลองโจมตี SQL Injection, XSS, และ CSRF เพื่อเข้าใจช่องโหว่ของเว็บแอป
  22. การประเมินช่องโหว่และการตอบสนองต่อการโจมตี – การฝึกฝนการตรวจจับและตอบสนองต่อช่องโหว่ที่พบในระบบ
  23. การใช้เครื่องมือ Digital Forensics – การใช้เครื่องมือเช่น FTK Imager และ EnCase ในการตรวจสอบเหตุการณ์ที่เกิดขึ้น การรวบรมข้อมูลเพื่อทำ Forensic จาก Disk และ Memory
  24. การใช้ PowerShell สำหรับการวิเคราะห์ข้อมูล – เรียนรู้การใช้ PowerShell ในการรวบรวมและวิเคราะห์ข้อมูล
  25. การสร้างระบบเครือข่ายที่ปลอดภัย – การสร้างสถาปัตยกรรมเครือข่ายที่มีการแบ่งแยกและการใช้ Zero Trust Architecture
  26. การฝึกฝนการตอบสนองในสถานการณ์ภัยคุกคามจริง – การจำลองสถานการณ์เพื่อให้เรียนรู้วิธีการตอบสนองในสถานการณ์จริง
  27. การวิเคราะห์เหตุการณ์ที่เกิดขึ้นใน Windows – การใช้ Windows Event Logs และ Memory Forensics เพื่อวิเคราะห์เหตุการณ์ที่เกิดขึ้น
  28. การบันทึกและตรวจสอบการใช้งาน Firewall: ผู้เรียนจะได้เรียนรู้การตั้งค่า firewall logs และ alerts เพื่อตรวจจับการเข้าถึงที่ไม่ได้รับอนุญาต
  29. การไล่ล่าภัยคุกคามขั้นสูง: หลักสูตรนี้สอนเทคนิค network threat hunting ขั้นสูงสำหรับการตรวจจับการทำ lateral movement และการทำ data exfiltration
  30. การฝึกฝนการวิเคราะห์ข้อมูลจากระบบเครือข่าย – การใช้เครื่องมือเช่น Wireshark และ Zeek เพื่อวิเคราะห์ทราฟฟิกที่มีการโจมตี
  31. การจำลองการโจมตีแบบ Man-in-the-Middle (MITM) – การเรียนรู้เกี่ยวกับการโจมตี MITM และวิธีการป้องกัน
  32. การตรวจจับและป้องกันการโจมตี DDoS – การฝึกฝนวิธีการตรวจจับและป้องกันการโจมตี DDoS
  33. การวิเคราะห์ทราฟฟิกเครือข่ายที่มีการโจมตี – การใช้งาน Wireshark และ Snort เพื่อวิเคราะห์การโจมตีจากทราฟฟิก
  34. การพัฒนาทักษะในการตอบสนองต่อเหตุการณ์ในเชิงลึก – การพัฒนาทักษะในการตรวจจับและตอบสนองต่อเหตุการณ์ในเชิงลึก
  35. การเรียนรู้จากกรณีศึกษาของเหตุการณ์ความปลอดภัย – การวิเคราะห์กรณีศึกษาจากเหตุการณ์ที่เกิดขึ้นจริงเพื่อเรียนรู้วิธีป้องกัน
  36. การฝึกฝนด้วยการจำลองสถานการณ์จริง – การจำลองการโจมตีเช่น Ransomware เพื่อให้ผู้เรียนสามารถฝึกฝนและตอบสนองได้ในสภาพแวดล้อมจริง
  37. การเรียนรู้การใช้เครื่องมือ SIEM อย่าง Microsoft Sentinel – หลักสูตรนี้สอนวิธีการใช้ Microsoft Sentinel ในการตรวจจับและตอบสนองต่อภัยคุกคามไซเบอร์แบบเรียลไทม์ ซึ่งเป็นเครื่องมือที่มีความสำคัญในองค์กรระดับสูง
  38. การฝึกฝนการใช้ EDR ในการจัดการภัยคุกคาม – ผู้เรียนจะได้ฝึกฝนการใช้เครื่องมือ EDR อย่าง Microsoft Defender, SentinelOne, และ CrowdStrike ในการจัดการกับภัยคุกคามที่พบในระบบอุปกรณ์ปลายทาง
  39. การจำลองเหตุการณ์จริงในสถานการณ์ Ransomware – การฝึกฝนกับสถานการณ์จริงโดยการจำลองการโจมตี Ransomware และการตอบสนอง เช่น การใช้ Application Whitelisting เพื่อป้องกันการโจมตี
  40. การเข้าใจการโจมตีประเภท Advanced Persistent Threat (APT) – การเรียนรู้วิธีการตรวจจับและตอบสนองต่อ APT ซึ่งเป็นภัยคุกคามที่ซับซ้อนและยืดเยื้อ โดยใช้เทคนิคและเครื่องมือที่ทันสมัย
  41. การเสริมสร้างความเข้าใจเกี่ยวกับการป้องกันภัยในเว็บแอปพลิเคชัน – การเรียนรู้และฝึกฝนการตรวจจับช่องโหว่ในเว็บแอปพลิเคชัน เช่น SQL Injection และ Cross-Site Scripting (XSS) ซึ่งเป็นการโจมตีที่พบบ่อยในโลกไซเบอร์