1. nap: Detekciós képességek elméleti oktatás

• Általános IT architektúra elemzése – hibák meghatározása: vezetékes és vezeték nélküli hálózatban, valamint alkalmazás réteg vizsgálata, megerősítése.
• Vizibilitás képességek megteremtése: Hálózati és kliens oldali adatgyűjtési lehetőségek feltárása és alkalmazása a különböző felhasználási esetekre.
• Riasztások definiálása, szabályok készítése: Hálózati és kliens oldali szignatúrák és szintaktikák értelmezése, eszközök megismerése.
• Biztonsági információk, eseménykezelő rendszerek és folyamatok: Koncepcionális és pragmatikus ajánlások különböző igényekre.
• Érettségi szintek meghatározása, mérése, fejlesztése: Objektív, technikai szinten adaptálható értékelési lehetőségek megismerésre.
• Folyamatok: detekciós képességek szabályai, a kapcsolódó eljárási rendek és egyéb folyamatok.
• Eseménykezelés: A riasztások besorolása, triázsolása, kontextusba helyezése.
• Fejlesztési lehetőségek: megtévesztés alapú szcenáriók, és adaptációjuk threat hunting folyamatokhoz, gépi tanulás implementálásának lehetőségei.
• Kiberhírszerzési képességek: Gyűjtés, aggregálás, vizualizálása és felhasználási módok.

2. nap: Elemzés (labor)

• Hálózat vizsgálata: gyakorlatok egy hálózati lekérdező nyelv és csomagvizsgáló segítségével.
• Permanens és nem permanens adattárolók (disk/memory) vizsgálata: Forensics eszközök megismerése és használata gyakorlati feladatok keresztül.
• Malware elemzés: Malware elemzési lehetőségek, adatok biztonságos kinyerése dokumentumokból, azok értelmezése és a tipikus szimptómák azonosítása.
• Webbiztoság: Leggyakoribb hibák felderítése és javítása.
• OSINT: Kitettségek vizsgálata nyílt, publikusan elérhető források alapján.

3. nap: CTF (Capture-The-Flag); (labor)

• Versenyjellegű feladatmegoldás a tanultak alapján, Jeopardy stílusban.

4. nap: Detekciós képességek kiépítése (labor)

• Hálózatvédelem kialakítása: Open source tűzfal telepítése, IPS konfigurálása, IPS feed-elése threat intel forrásokból, IDS kialakítása a belső forgalomra, SNORT szabályok írása és implementálása, hálózati metaadatok kinyerése, YARA szabályok írása és hálózati bevezetése
• Kliens oldali detekciók kialakítása: Nyílt forráskódú, fájl integritás vizsgáltra képes EDR eszköz bevezetése, log enrichment (Linux és Windows)
• Eseménykezelő platform bevezetése: Log-ok aggregálása, Sigma szabályok bevezetése, CTI bekötése

5. nap: CyberDrill (labor)

• Támadások szimulálása és MITRE ATT&CK alapú mappelése.
• A gyakorlat során az előző napon kialakított detekciós képességeket felhasználva kell azonosítani az érkező támadásokat, majd a megfelelő formában jelenteni.