IT-Defense 2026Adversary Tactics: Detection

Adversary Tactics: Detection

Referent:  Jared Atkinson & Luke Paine

Dauer: 2 Tage - 02. + 03. Februar 2026

Unternehmensnetzwerke werden ständig angegriffen, von Angreifern mit unterschiedlichen Fähigkeiten und Absichten. Viele haben das Gefühl, dass ein Blue-Team dabei nur verlieren kann. Der Angreifer muss lediglich einmal erfolgreich sein, um verheerenden Schaden anzurichten. Das Blue-Team hingegen muss einen Angreifer jedes Mal abwehren, unter verschiedenen Bedingungen und bei jedem einzelnen Schritt.

Das Ziel dieses Trainings ist es, diese Aussage auf den Kopf zu stellen und Ihnen durch eine neue defensive Denkweise Selbstvertrauen zu geben. Präventive Lösungen sollen Angriffe stoppen, bevor sie überhaupt beginnen, doch bei einem Angreifer, dem genügend Zeit und Ressourcen zur Verfügung stehen, versagen sie letztendlich alle. Anstatt sich in erster Linie darauf zu konzentrieren, Angriffe erfolgreich zu verhindern, sollten Sie davon ausgehen, dass Sicherheitsverletzungen auftreten können (und wahrscheinlich auch auftreten werden), und sich darauf konzentrieren, robuste Erkennungsmechanismen für Aktivitäten in allen Phasen des Angriffszyklus zu entwickeln. Wenn sich die Strategie auf das Verstehen der Aktivitäten nach einer Kompromittierung konzentriert (Rechteausweitung, Lateral Movement, Pivoting, Persistenz), werden qualitativ hochwertige Alarme erzeugt und dadurch ein Minenfeld geschaffen, sodass der Angreifer lediglich einmal erkannt werden muss und das Blue-Team dann reagieren kann. 

Dieser Kurs stützt sich auf die Standardtechniken der Abwehr und Incident Response in Netzwerken (die sich häufig auf Alarme für bekannte Malwaresignaturen konzentrieren) und legt den Fokus auf ungewöhnliches Verhalten und den Einsatz von Tactics, Techniques, and Procedures (TTPs) des Angreifers. Wir zeigen Ihnen, wie man Erkennungsmethoden entwickelt und dabei unbeständige Indikatoren zugunsten von Angreifer-TTPs vermeidet. Zudem lernen Sie, wie man kostenlose bzw. Open-Source-Werkzeuge zur Datensammlung und -analyse einsetzt (z. B. Sysmon, Windows Event Logs und ELK), um große Mengen an Host-Informationen zu analysieren und Erkennungsmethoden für schädliche Aktivitäten aufzubauen. Die erworbenen Techniken und die Werkzeuge setzen wir dann ein, um in einem simulierten Unternehmensnetzwerk, das von verschiedenen Angreifern bedroht wird, robuste Erkennungsfunktionen zu entwickeln. 

In diesem Kurs werden Sie: 

  • Lernen, wie man verschiedene Komponenten eines Erkennungsprogramms integriert, um den besten Effekt zu erzielen
  • „Threat Hunting“-Aktivitäten in aktuelle Erkennungsprogramme integrieren, um sinnvolle Erkennungstechnik voranzutreiben
  • Verschiedene Hypothesenansätze der Erkennungstechnik verstehen
  • Datensensor- und Datenquellenanalysen durchführen 
  • Unterschiedliche MITRE TTPs und Threat Intelligence verstehen 
  • Standardisierte Prozesse zur Entwicklung technischer Erkennungsfunktionen anwenden
  • Indikatoren in standardisierten Formaten zum Einsatz im Sicherheitsbetrieb dokumentieren 
  • In technischen Übungen die Datenaggregation und -analyse in großem Umfang üben, um Aktivitäten eines Angreifers zu erkennen

Folgendes wird vermittelt

  • Ein Verständnis dafür, wie man von einer oberflächlichen IOC-Identifizierung dazu gelangt, Bedrohungen auf der Grundlage von Techniken zu verstehen  
  • Die Rolle der Alarmierungs- und Erkennungsstrategien und wie man diese in ein Konzept an Sicherheitsmaßnahmen integriert
  • Eine praktische Herangehensweise zur Entwicklung robuster Erkennungsfunktionen auf Basis des Verhaltens der Angreifer anstatt einfach umgehbarer statischer Indikatoren

Wer sollte an diesem Kurs teilnehmen

Dieses Training richtet sich an Security-Analysten und Blue-Team-Mitglieder, die lernen möchten, wie man effektiv reproduzierbare Erkennungsmaßnahmen in Unternehmensnetzwerken aufbauen kann. Von diesem Kurs profitieren Teilnehmer mit unterschiedlichsten Kenntnissen im Sicherheitsbetrieb, vom SOC-Analysten bis hin zum erfahrenen Sicherheitsbeauftragten. Teilnehmer mit fundierten technischen Kenntnissen können tief in wichtige Konzepte und Übungen eintauchen. Teilnehmer in weniger technisch orientierten Positionen bekommen ein robustes Framework der Erkennungstechnik an die Hand, das die Bausteine zur Entwicklung hocheffektiver Erkennungsstrategien liefert. 

Teilnahmevoraussetzungen

Die Teilnehmer sollten Erfahrung im Bereich Abwehr / Incident Response in Netzwerken haben bzw. Kenntnisse zu offensiven Werkzeugen und Techniken, vorwiegend Techniken nach einer Kompromittierung. Von Vorteil ist auch Erfahrung im Umgang mit einem SIEM wie ELK oder Splunk.

Im Kurs erhalten die Teilnehmer Zugriff auf eine umfassende Toolsammlung, um Kursübungen durchzuführen und die Ziele zu erreichen. Am Ende erhalten die Teilnehmer eine Kopie der Folien und der Lösungsleitfäden/-videos. 

Mitzubringen ist ein Laptop mit einem modernen Webbrowser. Der Zugriff auf die Übungsumgebung erfolgt über das SpecterOps-Webportal.

Nach Abschluss des Trainings erhalten Sie ein Zertifikat.

Dieses Training findet in englischer Sprache statt!

Preis: 2.100,- €

Datum:
02. + 03. Februar 2026

Ort:
Maritim Hotel Würzburg
Pleichertorstraße 5
97070 Würzburg
+49 931 3053-0
info.wur@maritim.de
info@westin-leipzig.com