Modul 1: Grundlagen der KI-gestützten Bedrohungserkennung
Evolution der Cyberangriffe: Grenzen signaturbasierter Erkennung und der Paradigmenwechsel hin zu verhaltensbasierter Analyse, vermittelt über interaktive Online-Dashboards.
Machine Learning & Deep Learning Basics: Supervised vs. Unsupervised Learning im Kontext von Cybersecurity, veranschaulicht durch browserbasierte KI-Modellierung.
Datenquellen & Telemetrie im SOC: Erfassung und Normalisierung von Netzwerk-Logs und Endpoint-Daten unter ausschließlicher Verwendung kostenfreier Open-Source-Kollektoren.
Feature Engineering für Security-Daten: Transformation von rohen Log-Daten in maschinenlesbare Vektoren direkt im Browser mittels Python-Notebooks.
Online Hands-on Lab: Aufbau einer kostenfreien Open-Source-Datenpipeline. Nutzung von Google Colab und frei verfügbaren PCAP-Datensätzen zur Datenaufbereitung und Visualisierung mit Open-Source-Bibliotheken wie Matplotlib und Seaborn.
Modul 2: Anomalieerkennung in Netzwerkverkehr (NTA)
Statistische vs. ML-basierte Anomalieerkennung: Baseline-Erstellung und die Herausforderung von False Positives, analysiert anhand von Open-Source-Netzwerkdaten.
Unsupervised Learning-Algorithmen: Funktionsweise von Isolation Forests und Autoencodern zur Identifikation unbekannter Bedrohungen, trainiert in kostenfreien Cloud-Umgebungen.
Erkennung von Command-and-Control (C2) Traffic: Analyse von Beaconing-Mustern und DGA (Domain Generation Algorithms) mithilfe frei zugänglicher Threat-Intelligence-Feeds.
Lateral Movement Detection: Identifikation von anomaler interner Kommunikation durch KI-gestützte Graphenanalyse in browserbasierten Jupyter-Notebooks.
Online Hands-on Lab: Implementierung eines Isolation-Forest-Modells in Python (Scikit-learn) via Google Colab. Training des Modells mit kostenfreien Zeek-Logs zur Erkennung von simulierten C2-Beacons.
Modul 3: KI-gestützte Endpoint Detection and Response (EDR)
Endpoint-Telemetrie-Analyse: KI-gestützte Auswertung von Prozessausführungsbäumen und API-Calls unter Nutzung von Open-Source-Datensätzen (z.B. Mordor).
Erkennung von Fileless Malware & LotL: Identifikation von Living-off-the-Land-Techniken durch Verhaltensmodellierung in kostenfreien Online-Sandbox-Umgebungen.
Integration von ML in EDR-Lösungen: Architektur moderner EDR-Agenten und Edge AI, demonstriert an quelloffenen EDR-Frameworks.
Automatisierte Response-Aktionen: KI-gesteuerte Isolierung von Hosts und Prozess-Terminierung, simuliert in sicheren, browserbasierten Linux-Containern.
Online Hands-on Lab: Konfiguration von Open-Source-Wazuh-Agenten in einer kostenfreien Cloud-Instanz. Training eines Random-Forest-Klassifikators zur Erkennung von PowerShell-Obfuskation anhand frei verfügbarer Sysmon-Daten.
Modul 4: User and Entity Behavior Analytics (UEBA)
Modellierung von Nutzerverhalten: Erstellung dynamischer Baselines zur Erkennung von Insider-Bedrohungen mithilfe von Open-Source-Analytics-Tools.
Zeitreihenanalyse & Graphen-basierte Ansätze: Erkennung von Abweichungen in Login-Zeiten und Zugriffsmustern durch Python-basierte Datenanalyse im Browser.
Risikoscoring-Modelle: Entwicklung von dynamischen Schwellenwerten zur Reduzierung von Alert Fatigue, programmiert in kostenfreien Jupyter-Umgebungen.
Erkennung von Account Compromise: Identifikation von "Impossible Travel"-Szenarien und Privilege Escalation anhand anonymisierter Open-Source-Logfiles.
Online Hands-on Lab: Analyse von Active Directory-Logs mit dem kostenfreien OpenUBA-Framework. Konfiguration von ML-Jobs in einer Open-Source-Elastic-Umgebung zur Aufdeckung anomaler Datenexfiltration.
Modul 5: Automatisierte Malware-Analyse mit Deep Learning
Grenzen der klassischen Malware-Analyse: Obfuskation und Polymorphismus und die Notwendigkeit KI-gestützter Ansätze, analysiert an sicheren, frei zugänglichen Malware-Samples.
Repräsentation von Binärdateien: Extraktion von PE-Headern und Umwandlung von Binaries in Graustufenbilder mittels quelloffener Python-Skripte.
Deep Learning Architekturen: Einsatz von Convolutional Neural Networks (CNNs) zur Klassifizierung von Malware-Familien, trainiert auf kostenfreien GPU-Instanzen (z.B. Colab).
Dynamische Analyse & Verhaltens-Clustering: KI-gestützte Auswertung von Sandbox-Reports aus öffentlichen Malware-Datenbanken.
Online Hands-on Lab: Nutzung einer cloudbasierten, kostenfreien Cuckoo Sandbox-Instanz. Training eines PyTorch-basierten CNN-Modells im Browser zur Klassifizierung von Ransomware-Samples anhand von Image-basierten Binärrepräsentationen.
Modul 6: Natural Language Processing (NLP) in der Threat Intelligence
Automatisierte Threat Intelligence: Herausforderungen bei der Auswertung unstrukturierter Texte aus frei zugänglichen Blogs und Foren.
Named Entity Recognition (NER): Training von NLP-Modellen zur Extraktion Cybersecurity-spezifischer Entitäten unter Nutzung quelloffener Sprachmodelle.
Sentiment-Analyse & Trend-Erkennung: Überwachung von Open-Source-Intelligence (OSINT) Quellen zur proaktiven Bedrohungsaufklärung.
Automatisierte IoC-Extraktion: Generierung von STIX-Formaten aus Fließtexten zur Einspeisung in kostenfreie Threat Intelligence Plattformen.
Online Hands-on Lab: Entwicklung eines NLP-Skripts mit kostenfreien Hugging Face Transformers im Browser. Automatisierte Auswertung öffentlicher Threat-Reports und Einspeisung der IoCs in eine cloudbasierte Open-Source-MISP-Instanz.
Modul 7: Adversarial Machine Learning in der Erkennung
Schwachstellen von KI-Erkennungsmodellen: Verständnis der Angriffsvektoren auf ML-Systeme (Evasion, Poisoning), simuliert in sicheren Online-Umgebungen.
Evasion Attacks auf NIDS & EDR: Techniken zur Umgehung von ML-basierten Erkennungssystemen, demonstriert an Open-Source-Modellen.
Data Poisoning: Manipulation von Trainingsdaten zur Erzeugung von Backdoors, analysiert in isolierten, browserbasierten Containern.
Härtung von Erkennungsmodellen: Strategien zur Erhöhung der Robustheit durch Adversarial Training mit quelloffenen Frameworks.
Online Hands-on Lab: Durchführung eines Evasion-Angriffs auf ein NTA-Modell unter Verwendung der kostenfreien, quelloffenen Adversarial Robustness Toolbox (ART) direkt im Browser. Anschließende Härtung des Modells.
Modul 8: SOC-Integration und Alert Triage mit KI
Orchestrierung von KI-Modellen: Integration von trainierten ML-Modellen in Open-Source Security Operations Center (SOC) Architekturen.
KI-gestützte Alert Triage: Automatisierte Priorisierung von Sicherheitswarnungen zur Entlastung von Analysten, umgesetzt mit kostenfreien SOAR-Tools.
Automatisierte Incident Response: Entwicklung von Playbooks, die basierend auf KI-Konfidenzwerten autonome Entscheidungen treffen, konfiguriert in Open-Source-Plattformen.
Continuous Learning im SOC: Feedback-Schleifen zur kontinuierlichen Verbesserung der KI-Modelle, simuliert in einer cloudbasierten Übungsumgebung.
Online Hands-on Lab: Integration der entwickelten ML-Modelle in die kostenfreie Open-Source-Plattform TheHive und Shuffle SOAR. Erstellung eines automatisierten Playbooks im Browser zur Reaktion auf KI-generierte Alerts.