est de volta pessoal continuando aqui com os nossos resumos por domínio da Security Plus 601 bora começar aqui com o nosso domínio 4. 0 operações e resposta incidentes no 4. 1 aqui a gente vai falar sobre algumas ferramentas né não tem como a gente entrar muitos detalhes vou falar mais ou menos que que a ferramenta faz tá se você se para você é novidade recomendo demais pelo menos rodar essa ferramenta aí para você saber o que que é tá então bora lá a parte de reconhecimento e de descoberta né algumas ferramentas sobre isso aqui tracert e Tracy route bom o tracert aqui no Windows e o trac rout no Linux ele nada mais é que um ping né que você vai aumentando o ttl ali então ele usa esse MP E aí do tipo oito aqui vai manipulando o ttl aqui vai aumentando um um um salto por cada tentativa que ele vai fazer aqui entendeu E E você tem que decorar isso aqui decorar não né saber que o tracert é para Windows e trout é para lin que pode ser que ele te traga lá algumas opções fala assim quais enta são do Windows ou qual dos quais são do Linux então assim só para você saber de qual sistema operacional é aí falar ah mas é decore Binha Não exatamente né você tem que saber eu mesmo me confundo tá eu me confundo Mas enfim Então aqui estão os detalhes Ness luab e o dig são são para consulta DNS né realizar cons DNS manuais aqui IP config e f config é para ver configuração de IP o IP config é para Windows e f config é para Linux e tem a questão do IP também né do IP algumas coisas lá que no Linux nmap ele faz faz esses funçõe zinhas aqui poucas funções nmap é poderoso PR caramba e aqui por mais que quando a gente instala lá o in Maps pro for Windows ele aparece nmap eles consideram Como zmap tá a parte do da interface gráfica aqui que no Windows tem interface gráfica mas quando você instala ele ele funciona também por an comando lá no Windows ping e PF ping PF ping é nativo do Windows uma coisa que eu descobri né estudando pr pra Security Plus ele faz um um Trace route no caso aqui um tracert né que é do Windows cadê cadê faz um tracert no Windows junto com o ping e ele faz uma e ele faz uma verificação da rede também aqui ó perda de pacotes latência se você não a integra função de ping em um Trace R tá vendo Então assim se você não conhecia roda aí no Windows tá PF ping coloca um IP para você ver como é que funciona hping é Linux e aí ele é um Packet Craft ou Craft package alguma coisa assim que ele que você consegue criar pacotes né confeccionar pacotes de rede então meio que personalizar Esse pacote a versão atual que é hping 3 a última vez que eu vi tava tava descontinuado mas ainda funciona né então quando falar assim software que que sobre personalizar pacote ou criar pacote hping n start você consegue ver as sessões tcps ativas e um sistema e eu acho que ele não tem diferença de Windows para Windows tudo tem esse netstat aí a diferença talvez pode ser as opções não conheça a fundo netcat ele tem a parte de seria um Cat de rede né o cat ali ele vai fazer uma leitura de arquivo só no caso aqui ele vai fazer uma leitura de de rede né então você vai gravar o ler em cima de conexões de rede ali na 601 ele não entra no detalhe do tal do ncat na pen test já então mas assim para 61 tá ok ncat o netcat El vai fazer isso acho que nem cobra o ncat mas a diferença já adiantando né que o ncat ele suporta conexão SSH SSL alguma coisa assim conexão segura lá Não me lembro se é s ou TS parte de scanner de IP tem essas duas aqui com Angry Space scanner Advance IP scanner você fazer escamento de IP em rede local a parte do arp aqui para você manipular essa parte de conteúdo do arp né Tanto para você ver Enfim fazer algumas configurações aí parte de Rot o parte não né o comando Rot aqui é para você poder visualizar manipular tabela de roteamento Curl que seria para você fazer baixar né algum alguma URL ali enfim ele traz aqui alguns protocolos que ele suporta o raver de raver né é para fazer coleta o zint esse Sniper é para fazer um reconhecimento scanner aqui de conhecimento de Pain test eu nunca utilizei ele até tinha esquecido disso Scan é essa parte de raspadora aqui quando a gente falou sobre esquim eu comentei né meio que você fazer uma uma far rura mesmo aqui de portas também essa Maioria dessas ferramentas foi tudo tirada 701 tá então esses Scan meu nem lembro de cair na prova isso e questões né sabe e tal DNS num para fazer coleta de DNS né numeração de DNS o nessus esse aqui já é um pouco mais famoso para provavelmente vai cair alguma coisa scanner de vulnerabilidade da empresa tenable aqui concorrente com Open Vas actic e coisas do tipo esse Google sandbox uma sandbox né uma ferrament Zinha ali e tal e análise de m de código aberto alguns e comandos aqui agora para manipulação de arquivo Red ou head enfim ele vai exibir as 10 primeiras linhas de um arquivo isso aqui é importante tá faça algumas duas três vezes aí cria um arquivo de texto com as 100 linhas e faz esses testes aqui para você fixar um pouco mais tem un ros de Lab também que tem exemplo disso daí Teo é as últimas 10 linhas de um arquivo o cat ele vai exir o cat ele vai exibir o arquivo na tela um plus que o tac se você coloca ao contrário ele exibe o arquivo de de do final para cima pode ser interessante tá então não cai na prova tá mas tem esse taque aqui que é o contrário do cat que o negócio agora acabou de sair aqui do slide top demais Vixe caiu fora PR outro slide aqui a tá o aqui ó Eita nós tack beleza É continuando aqui o grap é para procurar uma string ou um padrão específico para fazer pesquisa o ch mod é para manipular as permissões de arquivo lá e normalmente os Unix da vida aí essa parte aqui de R w x não sei das quantas me lembro de ver uma ou duas questões disso tá mas é bem tranquilo mas é algo que você precisa saber do dia a dia tá E aí eu reforço a questão lá tem uma playlist de introdução à linguagem script eu comento um pouquinho sobre isso aqui que Fala um pouquinho sobre Bash e tal então uma aula bem específica lá que eu comento bem sobre essa parte aí de cag mod o logger é um comando que você vai adicionar mensagens aqui a sislog tem alguns Labs que a gente utiliza esse logger aqui para fazer teste né você forçar um log lá e ver se ele tá sendo gravado e tal ambientes de sh script então é SSH linha de comando ali que é mais segura né sempre se lembra quando é csh normalmente eu substituto telnet enfim a prova sempre vai cobrar alguma coisa nessa pegada aí powershell script do Windows Python não é na né mas linguagem interpretada op SSL ele vai ser um software você para oferecer proteção né SSL e tls aqui no tráfico de rede captura de pacote e replay normalmente você vai fazer a captura e fazer esse reenvio disso né Tem um TCP replay que prova não lembro tiver questão sobre isso aqui mas esse conjunto aqui de de utilitários o TCP dump aí pode esperar vai vai cair pelo menos dois questões disso aqui que que acontece o TCP dump ele é um utilitário bruto aqui ó de captura ah eu não consigo ver o arquivo consegue ele vai capturar lá o ponto pup só que você vai ver texto só linha de texto e normalmente você vai utilizar quem o a Shark aqui ó para você ver isso de que forma goi interface gráfica tá então normalmente você tem você roda lá o TCP dump na sua máquina vítima pega esse esse pup lá traz pra sua máquina e você analisa casos muito específico para usar isso né War Shark é a parte do analizador e sniffer né com interface gráfica parte de forense essa ciência aqui a arte de localizar coletar preservar enfim mais paraa frente a gente vai falar sobre isso acho que é o próximo domínio o dd é para fazer uma cópia de disco isso aqui também vai cair tá para fazer cópia de disco utilizado naquele lance de forense B dump você fazer extração aqui do conteúdo de memória RAM o inx é um equitor de ex decimal com o Gui aqui do Windows interface gráfica ftk imager seria esse utilitário de clonagem de unidades aqui do conjunto de ferramentas forens do ftk o que que acontece eh aqui ele tá falando mais numa parte de utilitário de clonagem de unidade e tal Eu não me lembro de ver questão onde tinha alternativa do ftk imagem com DD tá não me lembro mas os dois tem uma pegada mais ou menos assim tá de fazer essa cópia de arquivo só que aqui é um pouco mais completo digamos assim esse ftk tem mais opções desconheço os dois tá já vi só exemplos de Lab e tal mas pela prova o que vocês prão saber é isso autopsi uma interface é uma ferramenta também de forense aqui com interface gráfica Já rodei isso aqui no Windows para poder recuperar arquivos e coisas do tipo só que ele tá falando que é gratuito mas eu acho que tem uma versão paga dele tá mas a prova também não vai adentar nesse detalhe não alguns frameworks de exploit né de exploração deixa eu ver se ele Comenta alguma coisa aqui temos metal exploit ã ord Impact eu não lembro se é uma também enfim ele fala dos frameworks de exploração mas não adentra muito também os os crackers de senha John the Reaper normalmente é ataque offline tá e o online é o hidra não me lembro se a gente vai ver mais pra frente isso aqui hum é isso sear de dados a gente já viu né Essa parte você fazer um uma um apagar ali né o dispositivo limpar ele ali de uma forma que não não dê para recuperar E aí tem alguns processos Aqui o tal do purg né que é o tal do purgar me lembro quando eu gravei isso aqui eu nunca tinha visto falar disso mas depois estudei mais a fundo e vi que seria essa parte tipo de formatação zero fio né você zerar de fato HD quando você faz uma formatação R você não você não for você não zero HD você só limpa tabela de índex tem aqui uma imagenzinha aqui sobre essa parte do nicho 800 né sobre a parte de sanitização and é isso item 4.
1 bem de boinha bora aqui pro item 4. 2 vai falar aqui sobre processos e procedimentos aqui na resposta incidentes os planos né o incidente a resposta aqui o irp ele vai ser meio que um soup aqui que seria esses procedimentos de operação padrão mas ser basicamente ali um um playbook digamos assim que você vai montar de que tipo Ai quando tiver um acidente o que que a gente vai fazer né Obviamente você tem que testar isso ver se isso é funcional para Teoricamente qualquer pessoa que pega esse plano consiga fazer a resposta incidência Teoricamente na prática a gente sabe que né na prática a Teoria é outra então ele fala aqui sobre o que que tem que detalhar no plano enfim a gente precisa saber o que que é um irp plano de resposta incidente o que que esse plano pode conter tá ter essa noção e algumas fases aqui a preparação que você vai fazer antes do incidente tá a identificação que é quando ocorre o incidente ali o que que você vai fazer né você vai fazer a detecção aqui ficar ciente consciente está ocorrendo né enfim depois essa parte de com tensão você vai travar Ali vai tentar diminuir e a o impacto né travar ali depois tem a rede rede depois tá erradicação que é onde você vai tentar parar mesmo ali né Tipo olha vamos desligar a máquina vamos isolar enfim a parte de recuperação você vai voltar seu ambiente a ao ponto inicial ali e as lições apreendidas aqui é que você vai fazer o levantamento ali às vezes reajustar lá o seu a parte de preparação enfim e fazer o tratamento ali alguns testes enfim e tem essa parte aqui desse eh carar aqui que seria o relatório de ação corretiva e esse aar que seria o After Action report seria um relatório pós ação aqui pode ser que a prova cobra alguma coisa dessa segla aqui viu parte de exercícios aqui o que que você vai fazer ali né as partes Preparações e simulações enfim para você fazer essa resposta eu fi evitando usar esse simulações que a simulação é um tipo de exercício tóp é um exercício de mesa vai fazer uma reunião ali fazer uma discussão né rodar uns slides alguma coisa assim algo meio que e volto de novo né a gente tenta não falar simulações mas é meio que esse exercício mesmo ali em cima da mesa algo meio teórico meio teórico não é teórico e tal né meio que um Brainstorm digamos assim Walk TR P TR não sei como é ser a pronúncia é um exercício aqui que vai concentrar essa parte cada membro aqui meio que se fosse um passa a passo né olha que você acontecer isso que que a gente vai fazer aí não a Fulano vai fazer tal coisa Fulano vai fazer tal coisa entendeu algo um pouco mais mais é direcionado simulações é realmente fazer a parte de simulação mesmo e aí às vezes você fazer num ambiente segmentado ou no ambiente separado para isso as estruturas de ataque para você fazer levantamento de parte de ataque do que que aconteceu forma exploração um pouco lá naquelas parte de ttp E aí entra aquela parte do Mitra ataque esse modelo diamante aqui eu não me lembro de ver questão da comptia com isso aqui tá mas é bom ter noção disso aqui na ch cobra na pentest comenta de novo sobre isso aqui e na Sisa também Provavelmente na casp tá então é uma coisa que você tem que saber e enfim eu não lembro se isso aqui vem do nicho alguma coisa assim sei lá eu sei que esse esse conceito é bastante utilizado saber que o chain não se aprofunda muito no que que ele é é só essas fases o que que cada uma faz tanto que nem nem tem mais pra frente aqui enfim mas é a parte do reconhecimento mesmo de você fazer ali o reconhecimento do seu alvo weaponization né a parte do armamento você preparar AL como é que você vai atacar ele a parte de entrega Como é que você vai entregar esse exploit aqui que você você fez Ah vai ser por e-mail vai ser por SB né enfim a exploração você realmente rodar aquele exploit ali a instalação você fazer uma persistência comando em controle ali você poder fazer um controle remoto poder voltar naquele alvo e ações objetivos aqui é você fazer o objetivo como um todo ali né O que que você precisava que você tinha ideia no início quando você começou o reconhecimento sem botar em prática parte de gerenciamento aqui do stakholders as partes interessadas e todo mundo tá envolvido ali você fazer o gerenciamento ento disso bem pegada gerencialmente de projetos mesmo plano de comunicação quando você falar sobre essa parte de incidentes ou tanto do ptest também tem essa pegada aí então quem que você vai eh notificar caso tenha acontecido o responsável técnico mais essa linha aí o drp plano de recuperação de desastres não confundam com o irp tá desastre é o qu quando acontece alguma coisa que não tá muito sobre o seu controle incidente também não né mas o desastre ali ele tá normalmente a às vezes após o incidente né para fazer recuperação enfim não confundam isso que tem essa essa diferença aí então a recuperação do desastre é uma expansão do BCP bus continuity plan tá então acho que seria isso para desenvolvimento aqui avaliação de riscos né Impacto dos negócios tal do Bia Business Impact anális tem que saber essa essa sigl fazinha aí o que que é essa parte de mtd aqui também vai cair tá então é o máximo time é máximo Toler Down time e esse aqui mass tolerable não sei o que que é esse aqui enfim de Natividade offline não sei mas tem essa parte de impacto Então quando você me falar de análise de risco vinculado ao drp e o plano de continuar de negócio vai est vinculado esse tal de Bia aí vai ter questão disso Óbvio tá E no simulados também tem tá pessoal integração e validação do plano conscientização auditoria enfim mais aí sobre o BCP então o cop aqui seria planejamento continuidade de operações eh pode ter que pode ser que ca alguma coisa mas tá muito vinculado também àquela parte do do BCP entanto que ele fala aqui ó pode ser resultados combinados BCP e drp tem a parte plana de contingência de ti também mas is aqui eu não me lembro de ter questão disso dentro dessa parte do cop aqui tem essa parte de planejamento de sucessão Ah vai sair um desenvolvedor um analista treinar o próximo seria mais ou menos nessa linha aí tá contingência de backout que é tipo ah deu ruim esse conceito de backout aqui lembro dis cair em algum lugar não lembro se na ch enfim mas seria o conceito de deu ruim na atualização implementação enfim você poder voltar o que tava antes ao último último ponto ali estável digamos assim time de resposta incidentes né A gente entra naquelas partes lá do cirt CTS enfim na prática não muda muita coisa políticas de retenção a gente já tá falando sobre a parte de dados Quanto tempo tem que guardar de acordo com políticas eh normatizações e relacionados E com isso a gente termina aqui o 4. 2 bora aqui pro 4.
3 a fal fá aqui sobre a parte de investigação né o que que vai apoiar a investigação a saída do esan de vulnerabilidade tipo nesso lá que a gente roda ou às vezes um nmap com NSL alguma coisa assim vai dar uma saída de vulnerabilidade você vai usar isso aí para fazer os relatórios fazer as provas de conceito ver se realmente tá vulnerável né os dashboard de cen que vai ser um painel ali de gerenciamento eu acho que não entra aqui nos detalhes eu não lembro qual das provas mais sei ser será Cisa mais que tem um dashboard técnico um dashboard administrativo aí vocês vão ver mais para frente querem continuar aí nas linhas de prova da comptia sensor vai ser ao que o cen lá de forma de software ou hardware vai usar para coletar os dados a sensibilidade tá vinculado esses sensores aí né Por exemplo a eh o tráfego de um servidor específico a sensibilidade vai ser o quanto de pico que vai ter a porcentagem olha aumentou sei lá 30% em x tempo né Isso tá é anomalia não é essa parte da sensibilidade que tem que ser vinculada aqui Trend são as tendências que eu acabei de comentar o alerta aqui né que vai ser o alerta propriamente dito vai como que vai ser vai ser um popup lá no dashboard na TV que fica lá na sala da ti vai chegar pro telegram WhatsApp o que que vai entendeu Como que vai ser esse Alerta aí c MS a correlação não adianta você fazer somente a coleta de log você não fazer um tratamento disso ai deu um pico lá de de de tráfego de entrada mas e aí ai pode ser um dos né A negação de serviço pode ser um ataque alguma coisa assim tem que ter essa parte de correlação senão não faz muito sentido ser tão cem ali parte de logs de arquivos né você registrar os logs isso daí tem uns logs aqui de de rede né de Network enfim de sistema de aplicação de segurança de web tudo mais vinculado isso aí DNS autenticação de despejo desses logs memória e tal de de ligações voips né chamadas tráfico cip sislog R sislog sislog NG o sislog significa que System log protocol né vai ser o mecanismo ali que vai vai vai ser usado né para fazer esse tratamento de mensagens rcis logs e Sis logs NG são aplicações são utilitárias né é o sislog NG não lembro se era o Demon do sislog padrão e tal tem esse Journal CTL que também tem uma parte tem um um um tem como visualizar os logs aqui gerado pelo System D no sistema Unix NX logs também é uma ferramenta de gerenciamento de log prova não lembro de cobrar alguma coisa disso motores de largura de banda também tá vinculado essa parte de gerenciamento ali metadata ou metadados né são os arquivos ali que são algumas informações sobre os arquivos por exemplo foto lá resolução da foto de onde que essa foto foi tirada a câmera enfim são todo metadados tem metadados de e-mail também mobile web de arquivos netflow sflow é um recurso de mamento de tráfego atades susco susco não né switchs cisco Então esse Tet Flow e s Flow tá vinculado essa parte do monitoramento proprietário da cisco ipfix ele é um protocolo aqui para fazer exportação de informações do fluxo IP analisar a saída do da parte aqui de coleta de de pacote né enfim aí entraria naquela parte lá tipo do do a Shark da vida né você vai fazer ele é uma análise de protocolo você vai ver lá PR sessão enfim mais ou menos nessa linha aí beleza com isso matamos aqui já também o item 4. 3 item o domínio 4 é bem de boinha bora aqui pro bora aqui pro item 4. 4 falar aqui sobre as técnicas de mitigações incidentes né configurar as soluções de segurança do PTE aconteceu um incidente depois tem que voltar isso né então a parte de segurança dele tem que fazer a reconfiguração essa parte aqui de reconfigurar os serviços de triple a de autenticação tal a aplicação a lista de de aplicações aprovadas já já comentei sobre isso antes né enfim a parte de de lista de bloqueio ou de negação quarentena que você faz um isolamento ali daquele arquivo executável enfim às vezes quando você não consegue limpar esse arquivo mudanças de configuração a gente tá falando lá o tal do Mud né gerenciamento de mudanças então essa parte de configuração você tem que ter uma uma documentação mínima disso e tal regras de Fal essa parte mal configurada que você pode ter problema e ele fala que sempre vai revisar atualizar enfim parte de gerenciamentos positivos mos a gente já comentou sobre o que que é seria o contexto aqui de você fazer essa recuperação disso né reinstalação enfim as dlp também data loss prevention que a gente já viu o que que é aí seria vai fazer uma verificação aqui pós incidente filtro de conteúdo Ele Pode falhar aqui se não tiver configurado de forma adequada fazer asas verificações atualizar a revogar os certificados aí oos certificado ali enfim já não tá não era para ser mais está mais em uso mas ele não foi revogado isolamento faz parte daquele tratamento de incidentes lá quando você faz a detecção né Depois da detecção dentro da contenção você faz o isolamento ali dele a contenção né a resposta aqui a segmentação tá tá vinculado àquela parte de isolamento Mas você faz segmentação prévia né para você ter uma rede bem bonitinha todo separado o soar seria os a parte de A orquestração automação e resposta né de segurança ali você tem junto às vezes não trabalha com Sem o sem detecta e manda pro sário o suaro ele tem um tratamento um playbook ali que você já configurou ele poder fazer o tratamento o rbook é uma uma parte específica ali do do soar vai ser o o passo a passo propriamente dito né na verdade você tem lá o o playbook dentro do playbook você tem vários runbooks tá aqui ó uma lista de verificação e tal e é isso tá é isso bem tranquilinho aqui e bora finalizar aqui no it tem 4.
![CompTIA CySA+ - Complete Course With Labs [10+ Hours]](https://img.youtube.com/vi/kFfAr6wRp7M/maxresdefault.jpg)
