Modul 1: Grundlagen des KI-gestützten Security Operations Center (SOC)
Architektur moderner SOCs: Aufbau und Funktionsweise eines Security Operations Centers unter Einbindung von KI-Technologien zur Bewältigung steigender Datenmengen, veranschaulicht durch interaktive Online-Dashboards.
Datenintegration und Log-Management: Sammlung, Normalisierung und Aggregation von Sicherheitsereignissen aus heterogenen Quellen unter ausschließlicher Verwendung kostenfreier Open-Source-SIEM-Lösungen.
Rolle der KI in der Sicherheitsanalyse: Übergang von regelbasierten Systemen zu Machine Learning und Deep Learning für eine proaktive Bedrohungserkennung, demonstriert in browserbasierten Umgebungen.
Automatisierung von Routineaufgaben: Reduzierung von Alert Fatigue durch KI-gestützte Vorfilterung und Kategorisierung von Sicherheitswarnungen mittels quelloffener Skripte.
Online Hands-on Lab: Aufbau einer grundlegenden Log-Management-Pipeline. Nutzung einer kostenfreien Open-Source-Elastic-Umgebung zur Erfassung und Visualisierung von System-Logs direkt im Browser.
Modul 2: KI-gestützte Bedrohungsanalyse und Triage
Automatisierte Alert-Priorisierung: Einsatz von Machine Learning zur Bewertung der Kritikalität von Sicherheitswarnungen basierend auf historischen Daten und Kontextinformationen, analysiert mit Open-Source-Tools.
Kontextualisierung von Vorfällen: Anreicherung von Alerts mit Threat Intelligence und Asset-Informationen durch KI-gestützte Korrelation in kostenfreien Cloud-Umgebungen.
Reduzierung von False Positives: Kontinuierliches Training von Klassifikationsmodellen zur Verbesserung der Erkennungsgenauigkeit und Minimierung von Fehlalarmen mithilfe frei zugänglicher Datensätze.
Verhaltensbasierte Anomalieerkennung: Identifikation von Abweichungen vom normalen System- und Netzwerkverhalten durch Unsupervised Learning in browserbasierten Jupyter-Notebooks.
Online Hands-on Lab: Implementierung eines Alert-Triage-Modells in Python (Scikit-learn) via Google Colab. Training eines Random-Forest-Klassifikators zur Priorisierung von simulierten SIEM-Alerts anhand offener Datensätze.
Modul 3: Automatisierte Incident Response (SOAR)
Grundlagen von Security Orchestration, Automation and Response (SOAR): Integration von Sicherheitstools und Automatisierung von Reaktionsprozessen zur Beschleunigung der Incident Response mit quelloffenen Plattformen.
Entwicklung KI-gesteuerter Playbooks: Erstellung dynamischer Reaktionspläne, die sich an die Art und Schwere des Vorfalls anpassen, konfiguriert in kostenfreien SOAR-Umgebungen.
Automatisierte Eindämmungsmaßnahmen: KI-gestützte Isolierung kompromittierter Hosts, Blockierung bösartiger IPs und Deaktivierung von Benutzerkonten, simuliert in sicheren Online-Containern.
Orchestrierung von Threat Intelligence: Automatisierter Abgleich von Indikatoren (IoCs) mit externen Feeds zur Validierung von Bedrohungen unter Nutzung von Open-Source-MISP-Instanzen.
Online Hands-on Lab: Konfiguration eines automatisierten Playbooks in der kostenfreien Open-Source-Plattform Shuffle SOAR. Integration von simulierten Alerts und Ausführung automatisierter Reaktionsschritte direkt im Browser.
Modul 4: KI in der Malware-Analyse und Forensik
Automatisierte statische und dynamische Analyse: Einsatz von KI zur Untersuchung von Dateieigenschaften und Verhaltensmustern verdächtiger Dateien in sicheren, frei zugänglichen Sandbox-Umgebungen.
Klassifizierung von Malware-Familien: Nutzung von Deep Learning zur Identifikation und Kategorisierung von Schadsoftware basierend auf Code-Ähnlichkeiten und Ausführungsmerkmalen mit quelloffenen Frameworks.
Extraktion von Indikatoren (IoCs): KI-gestützte Identifikation von Netzwerk- und Host-basierten Indikatoren aus Malware-Samples zur Einspeisung in Threat Intelligence Plattformen.
Unterstützung der digitalen Forensik: Automatisierte Analyse von Speicherabbildern und Festplatten-Images zur Rekonstruktion von Angriffsabläufen mittels Python-basierter Datenanalyse im Browser.
Online Hands-on Lab: Nutzung einer cloudbasierten, kostenfreien Cuckoo Sandbox-Instanz zur dynamischen Analyse von Malware-Samples. Auswertung der generierten Reports und Extraktion von IoCs mithilfe von Python-Skripten.
Modul 5: Threat Hunting mit Machine Learning
Proaktive Bedrohungssuche: Methodik des Threat Huntings zur Identifikation verborgener Angreifer im Netzwerk, unterstützt durch KI-gestützte Hypothesenbildung und Datenanalyse.
Analyse großer Datenmengen: Einsatz von Big-Data-Technologien und Machine Learning zur Durchsuchung von Petabytes an Log-Daten nach subtilen Angriffsspuren in kostenfreien Cloud-Umgebungen.
Identifikation von Advanced Persistent Threats (APTs): Erkennung komplexer, lang anhaltender Angriffe durch Korrelation von Ereignissen über lange Zeiträume mittels quelloffener Analytics-Tools.
Entwicklung von Hunting-Queries: Erstellung und Optimierung von Suchabfragen basierend auf KI-generierten Erkenntnissen und Threat Intelligence in browserbasierten Umgebungen.
Online Hands-on Lab: Durchführung einer Threat-Hunting-Kampagne in einer Open-Source-Elastic-Umgebung. Nutzung von Machine-Learning-Jobs zur Identifikation von anomaler Netzwerkkommunikation und potenziellen APT-Aktivitäten.
Modul 6: Natural Language Processing (NLP) im SOC
Auswertung unstrukturierter Daten: Einsatz von NLP zur Analyse von Threat-Reports, Blogs und Social-Media-Beiträgen zur Gewinnung von Open-Source Intelligence (OSINT).
Automatisierte Extraktion von Entitäten: Identifikation von Akteuren, Kampagnen und TTPs (Tactics, Techniques, and Procedures) aus Texten unter Nutzung quelloffener Sprachmodelle.
Sentiment-Analyse in der Sicherheitskommunikation: Bewertung der Dringlichkeit und Relevanz von Sicherheitsmeldungen durch KI-gestützte Textanalyse in kostenfreien Jupyter-Umgebungen.
Generierung von Management-Reports: Automatisierte Zusammenfassung komplexer Sicherheitsvorfälle für nicht-technische Stakeholder mittels frei verfügbarer NLP-Bibliotheken.
Online Hands-on Lab: Entwicklung eines NLP-Skripts mit kostenfreien Hugging Face Transformers im Browser. Automatisierte Extraktion von TTPs aus öffentlichen Threat-Reports und Mapping auf das MITRE ATT&CK Framework.
Modul 7: Adversarial Machine Learning und Modell-Sicherheit
Angriffe auf KI-Systeme im SOC: Verständnis von Evasion, Poisoning und Model Extraction Attacks auf sicherheitsrelevante Machine-Learning-Modelle, simuliert in sicheren Online-Umgebungen.
Robustheit von Erkennungsmodellen: Bewertung der Anfälligkeit von KI-basierten Detektionssystemen gegenüber gezielten Manipulationen durch Angreifer mit Open-Source-Tools.
Härtung von ML-Modellen: Implementierung von Verteidigungsstrategien wie Adversarial Training und Input-Sanitization zur Erhöhung der Resilienz in browserbasierten Containern.
Überwachung der Modell-Performance: Kontinuierliches Monitoring von KI-Modellen auf Concept Drift und Degradation zur Sicherstellung der Erkennungsqualität mittels quelloffener Frameworks.
Online Hands-on Lab: Analyse der Robustheit eines Malware-Klassifikators unter Verwendung der kostenfreien, quelloffenen Adversarial Robustness Toolbox (ART) direkt im Browser. Implementierung von Gegenmaßnahmen zur Härtung des Modells.
Modul 8: Aufbau eines KI-gestützten Open-Source SOC
Integration von KI-Komponenten: Zusammenführung von SIEM, SOAR, Threat Intelligence und Machine-Learning-Modellen zu einer kohärenten, quelloffenen SOC-Architektur.
Kollaboration und Informationsaustausch: Nutzung von Plattformen wie MISP und TheHive zur strukturierten Zusammenarbeit von Analysten und dem automatisierten Austausch von Bedrohungsdaten.
Kontinuierliche Verbesserung (Continuous Improvement): Etablierung von Feedback-Schleifen zur Anpassung von KI-Modellen und Playbooks…