SOC Defense & Red Team Offense: Practical Real-World Cybersecurity Workshop
เตรียมตัวให้พร้อมสู่สงครามไซเบอร์ในโลกแห่งความจริง กับเวิร์กช็อปเข้มข้นที่รวมสุดยอดทักษะจากสองฝั่ง – Blue Team และ Red Team – เข้าไว้ในหลักสูตรเดียว! ไม่ว่าจะเป็นการตรวจจับภัยคุกคามแบบเรียลไทม์ใน SOC หรือการจำลองการโจมตีจากแฮกเกอร์มืออาชีพ ท่านจะได้ฝึกมือกับเครื่องมือจริง เช่น EDR, SIEM, Cobalt Strike, Mimikatz และอื่น ๆ พร้อมเรียนรู้เทคนิคการวิเคราะห์เหตุการณ์ การเคลื่อนไหวแบบ Lateral Movement การฝังโค้ด และการตอบสนองต่อภัยคุกคามอย่างมีประสิทธิภาพ
หลักสูตรนี้ออกแบบมาเพื่อผู้ที่ต้องการก้าวข้ามจากความรู้เชิงทฤษฎีสู่ ประสบการณ์จริงในสนามรบไซเบอร์ ทั้งผู้ปฏิบัติการด้านความปลอดภัยใน SOC, ทีม IT Security, หรือผู้เชี่ยวชาญที่ต้องรับมือกับภัยคุกคามระดับองค์กร หากท่านพร้อมจะป้องกันและโจมตีอย่างชาญฉลาด – นี่คือเวทีที่จะเปลี่ยนท่านให้กลายเป็นนักรบไซเบอร์มืออาชีพตัวจริง!
จำนวนวันอบรม : 3 วัน
ผู้ที่เหมาะเข้ารับการอบรม
- SOC Analyst (Tier 1-3) – ผู้รับผิดชอบการตรวจจับ วิเคราะห์ และตอบสนองต่อเหตุการณ์ด้านความปลอดภัย ต้องการพัฒนาทักษะด้านการวิเคราะห์เหตุการณ์และเทคนิคการตอบสนองที่ทันสมัย
- Red Team / Penetration Tester – ผู้ที่ทำหน้าที่ทดสอบความมั่นคงปลอดภัย ต้องการเข้าใจการโจมตีระดับลึกและการหลบเลี่ยงการตรวจจับ เพื่อให้การประเมินภัยคุกคามสมจริงยิ่งขึ้น
- Incident Responder / Threat Hunter – ผู้รับมือเหตุการณ์จริง ต้องการฝึกฝนจากกรณีศึกษาที่เกิดขึ้นจริง และเรียนรู้วิธีการตรวจจับและจัดการภัยคุกคามอย่างแม่นยำ
- Cybersecurity Engineer / Security Operations – ผู้ดูแลระบบความปลอดภัยที่ต้องการเชื่อมโยงเครื่องมือต่าง ๆ เข้าด้วยกัน เช่น SIEM, EDR, Threat Intelligence, เพื่อเสริมความสามารถด้าน detection และ response
- ผู้บริหารด้าน IT Security – ที่ต้องการเข้าใจภาพรวมเชิงกลยุทธ์ของการโจมตีและการป้องกัน เพื่อนำไปปรับใช้ในองค์กร
- นักศึกษาและผู้ที่ต้องการเข้าสู่วงการ Cybersecurity – ที่มีพื้นฐานด้าน IT หรือเครือข่าย และต้องการพัฒนาทักษะในเชิงปฏิบัติ พร้อมเตรียมตัวเข้าสู่สายงาน Security
รายละเอียดหลักสูตร
Introduction to SOC Operations & Red Team Tactics
Security Operation Center (SOC) Fundamentals
1. What is a SOC?
SOC role and responsibilities within an organization.
Key objectives of SOC: monitoring, detecting, and responding to security incidents.
Structure of SOC: Tier 1 to Tier 3 analysts and their responsibilities.
2. SOC Tools Overview
Introduction to common SOC tools like SIEM, SOAR, EDR, and IDS/IPS.
Log aggregation and event correlation with Splunk and ELK Stack.
Threat intelligence platforms and integration in SOC.
3. Hands-On Lab: SOC Tool Setup
Configuring Splunk for log collection and analysis.
Setting up basic SIEM rules for detecting common attacks like brute force or DDoS.
Using Kali Linux and Snort for traffic monitoring.
Understanding Red Teaming
What is a Red Team? How Red Teaming complements SOC activities.
Offensive security mindset: Emulating real-world adversaries.
Key tools used by Red Teams (Metasploit, Burp Suite, Nmap, etc.)
1. Reconnaissance & Information Gathering
Performing OSINT (Open-Source Intelligence) and network reconnaissance.
Using Nmap for network scanning and identifying vulnerabilities.
Introduction to social engineering techniques and phishing simulations.
2. Hands-On Lab: Reconnaissance & Initial Exploitation
Use Nmap for service enumeration and OS fingerprinting.
Conduct phishing attacks (simulated) and gather intelligence.
Analysis and Detection of Attacks from 10 High-Risk Threat Actors and Malware
Analysis and detection of TA551 attack behaviors
Analysis and detection of the Cobalt Strike exploitation tool
Analysis and detection of the Qbot banking trojan
Analysis and detection of the IcedID banking trojan
Analysis and detection of the password theft tool Mimikatz
Analysis and detection of the Shlayer malware
Analysis and detection of the Dridex banking trojan
Analysis and detection of the Emotet banking trojan
Analysis and detection of the TrickBot banking trojan
Analysis and detection of the Gamarue IRC-based malware
Analysis and Detection of the 10 Most Common Attack Techniques
1. Analysis and detection of command interpreters (T1059)
Analysis and detection of PowerShell (T1059.001)
Analysis and detection of Windows Cmd Shell (T1059.003)
2. Analysis and detection of signed binary proxy execution (T1218)
Analysis and detection of Rundll32 (T1218.011)
Analysis and detection of Mshta (T1218.005)
3. Analysis and detection of creating and using system-level scheduled tasks or services (T1543)
4. Analysis and detection of attacks via system services or processes (T1055)
5. Analysis and detection of remote service tools usage (T1021)
6. Analysis and detection of stealth or injection techniques (T1055.012)
7. Analysis and detection of script obfuscation or tampering (T1027)
8. Analysis and detection of manual attack tools usage (T1105)
SOC Incident Detection & Red Team Exploitation
Incident Detection & Response in SOC
1. SOC Monitoring Techniques
How to detect common attacks: DDoS, Ransomware, malware, etc.
Setting up incident detection workflows: Correlating alerts, creating incident response (IR) playbooks.
Alert triage and handling incidents in real-time.
2. Hands-On Lab: Detecting and Investigating Incidents
Use Splunk and ELK Stack to detect brute force and malware activity.
Investigating Windows and Linux logs for signs of compromise.
Identifying anomalies in network traffic using Wireshark and Snort.
Exploitation Techniques in Red Teaming
1. Exploitation Fundamentals
Introduction to Metasploit for exploiting vulnerabilities.
Understanding common exploits: SQL Injection, XSS, Command Injection.
Leveraging Metasploit and Burp Suite for web application and network service attacks.
2. Privilege Escalation & Post-Exploitation
Techniques for privilege escalation in Windows and Linux.
Setting up reverse shells and maintaining persistence.
3. Hands-On Lab: Exploiting Vulnerabilities
Use Metasploit to exploit vulnerabilities in a test environment.
Elevate privileges using PowerShell, sudo, and DLL hijacking.
Maintain access with backdoors and reverse shells.
Red Team Perspective: Simulation of Classic Attack Techniques
Initial data collection from internal target machines
Attack techniques using WMI command execution
Code injection into target processes for persistence
Privilege escalation using special process execution
Stealth using Rootkits to evade detection
Advanced SOC Operations & Red Team Lateral Movement
SOC Advanced Detection Techniques
1. Advanced Threat Detection
Using SIEM for advanced threat detection: Anomaly detection, AI/ML in SOC.
Threat Hunting and searching for Indicators of Compromise (IoCs).
Implementing file integrity monitoring (FIM) for detecting unauthorized changes.
2. Hands-On Lab: Threat Detection and Response
Set up Splunk to detect advanced persistent threats (APT).
Integrating EDR tools like CrowdStrike and Microsoft Defender into SOC workflows.
Investigating network traffic anomalies and applying IoC correlation in SIEM
Lateral Movement and Pivoting in Red Teaming
1. Lateral Movement Techniques
Moving through the network using tools like PsExec, PowerShell, Mimikatz.
Techniques for credential harvesting and kerberos ticket extraction.
Pivoting to different networks via VPNs and SSH tunneling.
2. Post-Exploitation & Data Exfiltration
Setting up data exfiltration channels: DNS tunneling, HTTP tunneling.
Leveraging SMB, FTP, and email for data theft.
3. Hands-On Lab: Lateral Movement and Data Exfiltration
Use PsExec and PowerShell for lateral movement.
Practice data exfiltration using DNS tunneling and HTTP
Blue Team Perspective: Examples of Attack Technique Detection
Command interpreter usage detection: Detecting T1059 - Command and Scripting Interpreter
Persistence: Detecting T1543.003 - Create or Modify System Process (Windows Services)
Privilege Escalation: Detecting T1546.015 - Component Object Model (COM) Hijacking
Defense Evasion: Detecting T1055.001 - DLL Injection
Credential Access: Detecting T1552.002 - Credentials in Registry
Discovery: Detecting T1069.002 - Permission Groups Discovery: Domain
Lateral Movement: Detecting T1021.002 - Remote Desktop Protocol
Data Compression before Exfiltration: Detecting T1560.001 - Archive via Utility
Advanced Red Team Tactics & SOC Incident Response
Morning Session: Advanced Web Application Attacks
1. Exploiting Web Application Vulnerabilities
Attacking SQL Injection, XSS, RCE, and SSRF.
Using Burp Suite to manipulate web application requests and inject malicious payloads.
Credential stuffing and bypassing authentication mechanisms.
2. Hands-On Lab: Web Application Hacking
Exploit SQL Injection using SQLMap and manual payloads.
Perform XSS attacks using Burp Suite.
Demonstrate SSRF attack on an internal application.
SOC Incident Response and Post-Incident Forensics
1. Incident Response Process
Establishing Incident Response (IR) Plans and playbooks.
Forensic analysis: Capturing and analyzing Windows Event Logs and Sysmon logs.
Memory forensics using tools like Volatility for incident analysis.
2. Hands-On Lab: SOC Incident Response
Responding to an incident using IR playbooks.
Analyze Windows Event Logs and identify attack indicators.
Use Volatility for memory forensics and incident investigation.
Red Team & SOC Simulation and Final Debrief
Full Red Team Attack Simulation
1. Red Team Simulation
Full-scale simulated attack from initial access to post-exploitation.
Red Team will use techniques like OSINT, exploitation, lateral movement, and data exfiltration.
Blue Team will defend using SOC tools like SIEM, EDR, and IDS/IPS.
2. Collaboration Between Red and Blue Teams
Understanding how Red Teams and SOC teams can collaborate to improve network defenses.
Communicating vulnerabilities and exploiting weaknesses discovered during attacks.
3. Hands-On Lab: Full Red Team Engagement
Red Team will simulate a full attack while Blue Team responds in real-time.
Use SIEM, EDR, and network traffic analysis to detect and stop attacks.
เหตุใดท่านควรเรียนหลักสูตรนี้
SOC (Blue Team / Defensive Security)
1. เข้าใจโครงสร้างและบทบาทของ SOC
→ รู้หน้าที่ของ SOC ในองค์กร เพื่อวางระบบป้องกันภัยไซเบอร์อย่างเป็นระบบ
2. เรียนรู้หน้าที่ของ Analyst แต่ละ Tier
→ เข้าใจการทำงานร่วมกันของ Tier 1–3 ช่วยจัดทีม SOC ได้มีประสิทธิภาพ
3. ใช้งานเครื่องมือ SIEM, SOAR, EDR, IDS/IPS
→ เพิ่มความมั่นใจในการเลือกใช้เครื่องมือป้องกันและตรวจจับภัยคุกคาม
4. ตั้งค่า Splunk และ ELK Stack
→ ฝึกตั้งค่าจริงเพื่อรวบรวมและวิเคราะห์ Log อย่างเป็นระบบ
5. สร้าง Rule ตรวจจับ Brute Force, Malware, DDoS
→ เรียนรู้การสร้างกฎเพื่อตรวจจับการโจมตีแบบอัตโนมัติ
6. วิเคราะห์เหตุการณ์ผ่าน Windows/Linux Logs
→ เพิ่มทักษะในการระบุเหตุการณ์ผิดปกติจากระบบปฏิบัติการที่ใช้จริง
7. จัดลำดับความสำคัญของ Alert (Triage)
→ ช่วยประหยัดเวลาในการรับมือเหตุการณ์ และลดการแจ้งเตือนลวง
8. ฝึก Threat Hunting ขั้นสูง
→ เสริมความสามารถในการค้นหาภัยคุกคามเชิงรุกโดยไม่รอ Alert
9. ใช้ Threat Intelligence ร่วมกับ SIEM
→ เพิ่มความแม่นยำในการตรวจจับด้วยข้อมูลภัยคุกคามล่าสุด
10. ฝึกตอบสนองต่อเหตุการณ์ตาม IR Playbook
→ เตรียมความพร้อมรับมือเหตุการณ์จริงในองค์กรได้อย่างมืออาชีพ
11. วิเคราะห์ Sysmon, Event Logs และ Traffic
→ เข้าใจพฤติกรรมของแฮกเกอร์ผ่าน Log หลักที่ใช้ในการ Forensics
12. ฝึก Memory Forensics ด้วย Volatility
→ ตรวจหามัลแวร์หรือโปรเซสแฝงในหน่วยความจำได้ลึกขึ้น
13. ใช้งาน EDR (เช่น CrowdStrike, Defender)
→ ป้องกันและตอบสนองต่อ Endpoint ได้ทันทีเมื่อตรวจพบความผิดปกติ
14. ตรวจจับ Lateral Movement และ Data Theft
→ ตรวจจับการเคลื่อนย้ายในเครือข่ายก่อนที่ข้อมูลสำคัญจะถูกขโมย
15. ฝึกตรวจจับเทคนิค MITRE ATT&CK ยอดนิยม
→ รู้วิธีตรวจจับการโจมตีเชิงลึก เช่น DLL Injection, PowerShell, RDP ฯลฯ
Red Team (Offensive Security)
16. เข้าใจมุมมองและเป้าหมายของ Red Team
→ เรียนรู้แนวคิดของการเลียนแบบแฮกเกอร์เพื่อทดสอบการป้องกัน
17. ฝึก Reconnaissance ด้วย OSINT และ Social Engineering
→ เรียนรู้วิธีเก็บข้อมูลเบื้องต้นเพื่อเตรียมการโจมตีในแบบเจาะลึก
18. ใช้เครื่องมือจริง เช่น Metasploit, Nmap, Mimikatz
→ ฝึกใช้เครื่องมือที่แฮกเกอร์นิยมใช้ เพื่อเข้าใจการโจมตีจริง
19. โจมตี Web Apps เช่น SQLi, XSS, SSRF
→ เข้าใจช่องโหว่ยอดนิยมที่ใช้เจาะระบบเว็บในชีวิตจริง
20. ฝึกใช้ WMI, Remote Services, Credential Harvesting
→ ฝึกเทคนิคเจาะระบบในระดับองค์กรที่ใช้ใน APT Attack จริง
21. ฝึก Privilege Escalation ทั้ง Windows และ Linux
→ เรียนรู้การยกระดับสิทธิ์เพื่อควบคุมระบบหลังเข้าถึงได้แล้ว
22. ฝึกใช้ Code Injection และ Bypass AV/EDR
→ เข้าใจเทคนิคการแฝงตัวและหลบเลี่ยงการตรวจจับของระบบป้องกัน
23. ฝัง Backdoor และ Reverse Shell อย่างแนบเนียน
→ เรียนรู้การควบคุมเครื่องเป้าหมายจากระยะไกลแบบต่อเนื่อง
24. ฝึก Lateral Movement ด้วย PsExec และ PowerShell
→ ขยายการเข้าถึงระบบเป้าหมายอื่นในเครือข่ายเดียวกัน
25. ฝึก Data Exfiltration ผ่าน DNS/HTTP
→ เรียนรู้การขโมยข้อมูลผ่านช่องทางที่ยากต่อการตรวจจับ
26. จำลองการโจมตีจากมัลแวร์จริง (Emotet, TrickBot)
→ ฝึกวิเคราะห์พฤติกรรมและเทคนิคของมัลแวร์ที่องค์กรต้องเผชิญ
27. Red Team vs Blue Team Simulation
→ ฝึกแบบสมจริงระหว่างทีมรับมือกับทีมโจมตีเพื่อพัฒนาแผนป้องกัน
28. ฝึกการหลบเลี่ยง SIEM, EDR, IDS/IPS
→ เข้าใจเทคนิค Bypass ที่แฮกเกอร์ใช้ เพื่อออกแบบการตรวจจับที่ดีกว่า
28. เข้าใจมุมมองแฮกเกอร์เพื่อป้องกันระบบได้ดียิ่งขึ้น
→ เปลี่ยนจากการ “ตั้งรับ” มาเป็น “วางแผนเชิงรุก”
29. สร้างการทำงานร่วมกันระหว่าง Red และ Blue Team
→ พัฒนาการสื่อสารและวางกลยุทธ์ความมั่นคงปลอดภัยร่วมกัน
ประโยชน์ที่จะได้รับในหลักสูตรนี้
SOC (Blue Team / Defensive Security)
1. เข้าใจโครงสร้างและบทบาทของ SOC
สอนอะไร: อธิบายหน้าที่ของ SOC ในองค์กร, โครงสร้างทีมแบบ Tier 1-3, การจัดการภัยคุกคามแบบศูนย์รวม
ประโยชน์: ผู้เรียนจะเข้าใจภาพรวมของการทำงาน SOC ทำให้สามารถวางโครงสร้างทีม หรือร่วมงานกับทีม SOC ได้อย่างเข้าใจลึกซึ้ง
2. เรียนรู้หน้าที่ของ Analyst แต่ละ Tier
สอนอะไร: จำแนกบทบาทของ Tier 1 (รับแจ้งเหตุ), Tier 2 (วิเคราะห์เหตุการณ์), Tier 3 (Threat Hunting/Forensics)
ประโยชน์: ผู้เรียนจะรู้ว่าควรพัฒนาทักษะใดในระดับของตนเอง และเข้าใจการทำงานร่วมในทีม SOC อย่างมีประสิทธิภาพ
3. ใช้งานเครื่องมือ SIEM, SOAR, EDR, IDS/IPS
สอนอะไร: แนะนำเครื่องมือแต่ละประเภท พร้อมสาธิตการทำงานจริง เช่น Splunk, ELK, Snort, Defender for Endpoint
ประโยชน์: ผู้เรียนจะมีประสบการณ์ใช้งานเบื้องต้นกับเครื่องมือที่จำเป็นในการตรวจจับและตอบสนองเหตุการณ์ในองค์กรจริง
4. ตั้งค่า Splunk และ ELK Stack
สอนอะไร: ติดตั้งและตั้งค่า Splunk, Forwarder, Indexer, และ ELK Stack เพื่อเก็บ Log จาก Windows/Linux
ประโยชน์: ผู้เรียนสามารถนำความรู้ไปสร้าง SOC Dashboard ได้เอง และวิเคราะห์เหตุการณ์จริงจาก Log ที่เก็บมาได้
5. สร้าง Rule ตรวจจับ Brute Force, Malware, DDoS
สอนอะไร: สร้าง detection rule ใน SIEM เช่น Splunk Search (SPL), ELK Query เพื่อตรวจจับพฤติกรรมผิดปกติ
ประโยชน์: ผู้เรียนจะสามารถกำหนดการแจ้งเตือนที่แม่นยำ ปรับใช้กับระบบจริงเพื่อลด false positive และเพิ่มความเร็วในการตรวจจับ
6. วิเคราะห์เหตุการณ์ผ่าน Windows/Linux Logs
สอนอะไร: การอ่านและวิเคราะห์ Event Logs, Syslog, Audit Logs และ Security Logs จาก Windows และ Linux เพื่อหา Indicators of Compromise (IoCs)
ประโยชน์: ผู้เรียนจะสามารถวิเคราะห์เหตุการณ์ได้จากหลายแหล่งข้อมูล พร้อมระบุพฤติกรรมต้องสงสัย เช่น การ login ผิดพลาด, การรันคำสั่งแปลก ๆ
7. จัดลำดับความสำคัญของ Alert (Triage)
สอนอะไร: วิธีแยกแยะ Alert สำคัญจาก Alert ลวง (false positive), การตั้ง Threshold และการจัดลำดับเพื่อตอบสนองอย่างมีลำดับ
ประโยชน์: ลดภาระของทีม SOC และเพิ่มประสิทธิภาพการตอบสนองในเหตุการณ์ที่เกิดขึ้นจริง
8. ฝึก Threat Hunting ขั้นสูง
สอนอะไร: การค้นหาภัยคุกคามเชิงรุกโดยไม่รอ Alert เช่น การค้นหากิจกรรม Lateral Movement, Suspicious DNS Queries, และ Beaconing
ประโยชน์: ผู้เรียนสามารถวิเคราะห์เชิงรุกเพื่อค้นหา Malware, APT หรือผู้บุกรุกที่หลบซ่อนอยู่ในระบบได้
9. ใช้ Threat Intelligence ร่วมกับ SIEM
สอนอะไร: การนำข้อมูล Threat Feed, IoC และ TTPs จากแหล่ง Threat Intelligence มาผูกกับระบบตรวจจับใน SIEM
ประโยชน์: ผู้เรียนจะสามารถใช้ข้อมูลภัยคุกคามล่าสุดมาช่วยให้ระบบตรวจจับแม่นยำยิ่งขึ้น เพิ่มความปลอดภัยในระดับองค์กร
10. ฝึกตอบสนองต่อเหตุการณ์ตาม IR Playbook
สอนอะไร: การสร้าง Incident Response Playbook, กำหนดขั้นตอนตอบสนองต่อเหตุการณ์ เช่น Malware, Insider Threat, Ransomware
ประโยชน์: ผู้เรียนสามารถสร้างแผนตอบสนองที่ใช้ได้จริงกับองค์กร และฝึกตัดสินใจในสถานการณ์วิกฤต
11. วิเคราะห์ Sysmon, Event Logs และ Traffic
สอนอะไร: เทคนิคการรวม Log จาก Sysmon (Windows), Event Viewer, และ Network Traffic เพื่อวิเคราะห์แบบครบวงจร
ประโยชน์: ผู้เรียนสามารถเชื่อมโยงข้อมูลจากหลายแหล่งเพื่อระบุพฤติกรรมต้องสงสัยที่ซับซ้อน เช่น การ dump password แล้วส่งออกนอกระบบ
12. ฝึก Memory Forensics ด้วย Volatility
สอนอะไร: การดึงและวิเคราะห์ข้อมูลจาก RAM โดยใช้ Volatility เพื่อหาหลักฐาน เช่น process แอบรัน, rootkit, หรือ malware แฝงตัว
ประโยชน์: ผู้เรียนจะมีทักษะการวิเคราะห์หน่วยความจำที่สำคัญสำหรับเหตุการณ์ระดับรุนแรงและซับซ้อน
13. ใช้งาน EDR (CrowdStrike, Defender ฯลฯ)
สอนอะไร: การติดตั้ง/วิเคราะห์ Log จาก EDR เช่น Microsoft Defender for Endpoint และ CrowdStrike เพื่อดูพฤติกรรมของ Endpoint
ประโยชน์: เข้าใจการตรวจจับ Threat แบบ Real-time และวิธีใช้ EDR ร่วมกับ SOC Tools อื่น ๆ ในการตรวจจับและป้องกัน
14. ตรวจจับ Lateral Movement และ Data Theft
สอนอะไร: การตั้ง Rule และเฝ้าระวังพฤติกรรม เช่น PsExec, SMB, RDP, หรือการดึงไฟล์ข้ามเครื่องที่ผิดปกติ
ประโยชน์: ผู้เรียนสามารถระบุการกระจายตัวของผู้บุกรุกในเครือข่ายได้ก่อนที่ความเสียหายจะลุกลาม
15. ฝึกตรวจจับเทคนิค MITRE ATT&CK ยอดนิยม
สอนอะไร: ฝึกการใช้ MITRE ATT&CK Framework เพื่อวิเคราะห์เทคนิคการโจมตี เช่น DLL Injection, PowerShell Execution, Credential Dumping
ประโยชน์: ผู้เรียนสามารถจับคู่พฤติกรรมการโจมตีกับเทคนิคใน MITRE เพื่อสร้าง Rule ตรวจจับและทำ Threat Mapping ได้แม่นยำยิ่งขึ้น
Red Team (Offensive Security)
16. เข้าใจมุมมองและเป้าหมายของ Red Team
สอนอะไร: บทบาทของ Red Team, การจำลองภัยคุกคามเพื่อทดสอบระบบป้องกัน, ความแตกต่างจาก Penetration Testing
ประโยชน์: ผู้เรียนจะเข้าใจเป้าหมายเชิงกลยุทธ์ของ Red Team เพื่อเสริมความแข็งแกร่งให้การป้องกันโดยมองจากมุมของผู้โจมตี
17. ฝึก Reconnaissance ด้วย OSINT และ Social Engineering
สอนอะไร: เทคนิคเก็บข้อมูลจากแหล่งเปิด เช่น WHOIS, Shodan, LinkedIn รวมถึงการใช้ Social Engineering เช่น Phishing
ประโยชน์: เข้าใจวิธีที่แฮกเกอร์เริ่มการโจมตี และสามารถนำไปวิเคราะห์หรือวางมาตรการลดความเสี่ยงในองค์กร
18. ใช้เครื่องมือจริง เช่น Metasploit, Nmap, Mimikatz
สอนอะไร: การสแกนช่องโหว่ด้วย Nmap, การเจาะระบบด้วย Metasploit และการดึงข้อมูล Credential ด้วย Mimikatz
ประโยชน์: ผู้เรียนสามารถใช้เครื่องมือระดับมืออาชีพในห้องแล็บ เพื่อเข้าใจเส้นทางการโจมตีที่ใช้ในโลกจริง
19. โจมตี Web Apps เช่น SQLi, XSS, SSRF
สอนอะไร: การโจมตีเว็บด้วยช่องโหว่ยอดนิยม เช่น SQL Injection, Cross-Site Scripting, Server-Side Request Forgery
ประโยชน์: เข้าใจจุดอ่อนของแอปพลิเคชันบนเว็บ และสามารถประเมินหรือเสริมความปลอดภัยให้ระบบขององค์กรได้
20. ฝึกใช้ WMI, Remote Services, Credential Harvesting
สอนอะไร: การใช้ Windows WMI สำหรับรันคำสั่ง, การเข้าถึงระบบผ่าน RDP/SMB, และการขโมย Credentials
ประโยชน์: เข้าใจเทคนิคการเคลื่อนที่ในระบบที่ใช้ใน APT และการตั้ง Rule ตรวจจับสำหรับ SOC ได้แม่นยำ
21. ฝึก Privilege Escalation ทั้ง Windows และ Linux
สอนอะไร: เทคนิคการยกระดับสิทธิ์ เช่น Kernel Exploits, Token Manipulation, Sudo Abuse
ประโยชน์: ผู้เรียนเข้าใจเส้นทางการเปลี่ยนจากผู้ใช้ทั่วไปเป็นผู้ดูแลระบบ และสามารถวางระบบป้องกันช่องโหว่เหล่านี้ได้
22. ฝึกใช้ Code Injection และ Bypass AV/EDR
สอนอะไร: เทคนิคการฉีดโค้ด เช่น Process Hollowing, DLL Injection, และการหลบเลี่ยง EDR ด้วย obfuscation
ประโยชน์: ผู้เรียนสามารถวิเคราะห์เทคนิคหลบเลี่ยงการตรวจจับของแฮกเกอร์ และปรับปรุงการตั้งค่า EDR/SIEM ให้ดียิ่งขึ้น
23. ฝัง Backdoor และ Reverse Shell อย่างแนบเนียน
สอนอะไร: การสร้างช่องทางกลับมาเข้าระบบ เช่น netcat reverse shell, การสร้าง Scheduled Task หรือ Registry Backdoor
ประโยชน์: เข้าใจวิธีที่แฮกเกอร์รักษาการเข้าถึงระบบ และสามารถตั้ง Rule ตรวจจับพฤติกรรมเหล่านี้ได้
24. ฝึก Lateral Movement ด้วย PsExec และ PowerShell
สอนอะไร: ใช้ PsExec, WinRM, PowerShell Remoting ในการเคลื่อนไปยังเครื่องอื่นในเครือข่าย
ประโยชน์: เข้าใจการโจมตีระดับองค์กรและสามารถติดตั้ง Honeypot หรือ Detection Rule เพื่อจับ Lateral Movement ได้
25. ฝึก Data Exfiltration ผ่าน DNS/HTTP
สอนอะไร: เทคนิคการขโมยข้อมูลโดยใช้ DNS tunneling, HTTP beaconing และการซ่อนข้อมูลในทราฟฟิกปกติ
ประโยชน์: สามารถวิเคราะห์ทราฟฟิกแปลกปลอมและป้องกันการส่งข้อมูลออกนอกองค์กรได้
26. จำลองการโจมตีจากมัลแวร์จริง (Emotet, TrickBot)
สอนอะไร: วิเคราะห์พฤติกรรมของมัลแวร์ที่เป็นภัยคุกคามองค์กร เช่น การแพร่กระจายตัว, การขโมยข้อมูล และการฝังตัว
ประโยชน์: ผู้เรียนสามารถวิเคราะห์ Log และ Alert ที่เกิดจากมัลแวร์ได้จริง และนำไปประยุกต์ใช้ในระบบจริง
27. Red Team vs Blue Team Simulation
สอนอะไร: ฝึก Red Team ทำการเจาะระบบในขณะที่ Blue Team ตรวจจับ วิเคราะห์ และตอบโต้แบบ Real-time
ประโยชน์: ผู้เรียนทั้งสองฝั่งจะเข้าใจจุดอ่อนของระบบและปรับปรุงการสื่อสารเพื่อรับมือภัยคุกคามได้ดียิ่งขึ้น
28. ฝึกการหลบเลี่ยง SIEM, EDR, IDS/IPS
สอนอะไร: เทคนิคหลบเลี่ยงการตรวจจับ เช่น Living off the Land Binaries (LOLBins), Encoding, และ Traffic Obfuscation
ประโยชน์: เข้าใจว่าทำไมบางภัยคุกคามตรวจจับไม่ได้ และสามารถปรับปรุง Detection Rule ให้ตอบโจทย์ภัยคุกคามยุคใหม่
29. เข้าใจมุมมองแฮกเกอร์เพื่อป้องกันระบบได้ดียิ่งขึ้น
สอนอะไร: วิเคราะห์ TTP (Tactics, Techniques, Procedures) ของแฮกเกอร์ เพื่อใช้สร้าง Use Case และ Playbook
ประโยชน์: เปลี่ยนวิธีคิดจาก “การตั้งรับ” เป็น “การวางแผนล่วงหน้า” อย่างมีข้อมูลรองรับ
30. สร้างการทำงานร่วมกันระหว่าง Red และ Blue Team
สอนอะไร: การจัดการ Vulnerability Disclosure, การ Debrief หลัง Simulation, และการเสริมแนวรับแบบ Proactive
ประโยชน์: ผู้เรียนจะเห็นภาพการทำงานแบบ Purple Team และนำไปประยุกต์กับทีมจริงในองค์กรเพื่อยกระดับ Cyber Defense
สนใจสามารถสอบถามเพิ่มเติมได้ที่ T. 081-6676981, 089-7767190,
02-2740864, 02-2740867
Email: This email address is being protected from spambots. You need JavaScript enabled to view it. , This email address is being protected from spambots. You need JavaScript enabled to view it.
Facebook.com/cyberthai Line ID : cyberthai