Личный кабинет
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Заказать звонок
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Linux Incident Response & Security
Узнаете, как атакуют Linux. Научитесь выявлять признаки компрометации, работать с файловыми артефактами, памятью и контейнерами, а также проводить расследования инцидентов и выстраивать защиту
Online
Практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах
Старт группы
8 ноября
8 ноября
Длительность
9 недель
9 недель
Партнёр курса
На курсе вы изучите
Подходы к построению защищенных систем
Методологию расследования инцидентов в средах виртуализации и контейнеризации
Основные техники атакующих на этапе постэксплуатации, а также методы их обнаружения
Особенности работы распространенных файловых систем: ext2, ext3, ext4, Btrfs, XFS
Актуальный ландшафт угроз России и стран СНГ в разрезе Linux-систем
Отличия между семействами дистрибутивов Linux с точки зрения безопасности
Принципы формирования и анализа журналов, а также настройки средств аудита
Основные этапы реагирования на инциденты ИБ
После успешного прохождения курса выдаётся удостоверение о повышении квалификации и электронный сертификат
Получите навыки:
-
Собирать дампы памяти, образы дисков и триажи - Писать отчеты по расследованию инцидентов ИБ
- Распознавать подозрительную активность, в том числе факты применения техник антифорензики
- Проводить анализ собранных данных как системными утилитами (grep, strings, sysctl), так и сторонними инструментами (dissect, plaso, TSK и так далее)
- Оценивать возможность восстановления информации, а при положительном результате — извлекать ее
- Давать рекомендации для повышения защищенности текущей инфраструктуры и модернизации системы
- Планировать и приоритизировать действия при реагировании на инциденты ИБ
- Настраивать журналирование
- Выбирать источники артефактов, оценивать качество входных данных
- Собирать артефакты и проводить расследование в контейнерных окружениях
- Искать аномалии в журналах большого объема
- Проводить базовый анализ вредоносного ПО (статический и динамический)
- Использовать данные киберразвездки в процессе реагирования
the sleuth kit (TSK)
osquery
uac
catscale
velociraptor
CyLR
sysmon for linux
dissect
LiME
AVML
dd
dc3dd
dcfldd
photorec
foremost
volatility
strings
bstrings
rkhunter
bulk_extractor
plaso
timesketch
yara
floss
Технологии и инструменты, которые даются в курсе
Кому будет полезно пройти курс
Специалистам с опытом в ИТ/ИБ от 1 года, желающим прокачать свои навыки в реагировании на инциденты в Linux-средах
Аналитикам SOC, чтобы узнать, как работают реальные атаки и уметь их выявлять, а также приоритезировать события
ИТ-администраторам, для понимания, что и в какой последовательности делать при столкновении с инцидентом
Руководителям ИТ-отделов, перед которыми стоит задача внедрить лучшие практики по мере построения/модернизации Linux-инфраструктуры с учетом особенностей реагирования на инциденты
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Авторы и эксперты курса
Лада Антипова
Incident Response Team Lead
Incident Response Team Lead
Более 8 лет работает в сфере практической информационной безопасности. Начинала карьерный путь с инженера и аналитика SOC с последующим администрированием различных средств защиты: знает всю внутреннюю кухню оборонительной безопасности. Сейчас руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз. Автор телеграм канала "README.hta"
Ключевые навыки
Ключевые навыки
- Форензика
- Реагирование на инциденты
- Проактивный поиск угроз (threat hunting)
- Администрирование ОС
Сертификаты
- GIAC Certified Forensic Analyst (GCFA)
- GIAC Advisory Board
- GIAC Experienced Forensic Analyst (GX-FA)
lada-antipova
Антон Степанов
Lead Incident Responder
Lead Incident Responder
В ИТ\ИБ с 2005 года. Начал путь с администрирования серверов и сервисов. В Digital Forensic с 2013 года. С 2022 года начал работать в Incident Response и за 2 года прошел путь от специалиста до лид респондера в одном из топовых вендоров по информационной безопасности. Принимал участие в расследованиях многих громких инцидентов последних лет.
Ключевые навыки
- DFIR
- Compromise Assessment
- eDiscovery
- Реагирование на инциденты
- Поиск угроз
Сертификаты/лицензии
- GIAC Certified Forensic Analyst (GCFA)
Сергей Канибор
R&D / Container Security в Luntry
R&D / Container Security в Luntry
Специализируется на безопасности контейнеров и Kubernetes. Багхантер. Автор CVE и BDU. Спикер на крупнейших российских ИБ и ИТ конференциях.
Ключевые навыки
- Kubernetes Security
- DevSecOps
- Cloud & Container Security
Программа курса
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс около 10−15 часов в неделю.
📄 1.1 Актуальность темы. Краткая история ОС. Преимущества и сложности в работе
📄 1.2 Как менялся ландшафт угроз и какой он сейчас? Актуальные кибератаки
📄 1.3 Расследование и реагирование на инцидент. Распространённые ошибки
📄 1.4 Типовая цепочка атаки. Матрица MITRE ATT&CK
⚙️ Практическая работа. Тест: реагирование на инциденты ИБ
⚙️ Практическая работа. Анализ публичного отчёта с выделением найденных тактик, техник и процедур
▶️ Видео. Работа с MITRE ATT&CK
📄 1.2 Как менялся ландшафт угроз и какой он сейчас? Актуальные кибератаки
📄 1.3 Расследование и реагирование на инцидент. Распространённые ошибки
📄 1.4 Типовая цепочка атаки. Матрица MITRE ATT&CK
⚙️ Практическая работа. Тест: реагирование на инциденты ИБ
⚙️ Практическая работа. Анализ публичного отчёта с выделением найденных тактик, техник и процедур
▶️ Видео. Работа с MITRE ATT&CK
📄 2.1 Системы и дистрибутивы
📄 2.2 Работа О С. Этапы загрузки. Иерархия процессов
📄 2.3 Структура каталогов. Файловые системы
📄 2.4 Ext2/ext3/ext4
📄 2.5 Btrfs
📄 2.6 XFS
📄 2.7 Файловые структуры: суперблоки, понятие айноды
📄 2.8 Восстановление данных
⚙️ Практическая работа. Тест: файловые системы
⚙️ Практическая работа. Настройка журналирования ext3, ext4
⚙️ Практическая работа. Восстановление данных
▶️ Видео. Восстановление данных
🗣️ Вебинар. IOT
📄 2.9 Пользователи, права, группы
📄 2.10 Процессы, демоны
📄 2.11 Система журналирования. Виды журналов
📄 2.12 syslog, ротация
📄 2.13 Дополнительные средства аудита: auditd, falco, sysmon for Linux
📄 2.14 Windows Subsystem for Linux (WSL)
⚙️ Практическая работа. Настройка пользовательских прав
⚙️ Практическая работа. Написание правил auditd
⚙️ Практическая работа. Настройка журналирования syslog, ротация
⚙️ Практическая работа. Сбор syslog на ELK
▶️ Видео. Работа со средствами аудита: auditd, auditctl
📄 2.2 Работа О С. Этапы загрузки. Иерархия процессов
📄 2.3 Структура каталогов. Файловые системы
📄 2.4 Ext2/ext3/ext4
📄 2.5 Btrfs
📄 2.6 XFS
📄 2.7 Файловые структуры: суперблоки, понятие айноды
📄 2.8 Восстановление данных
⚙️ Практическая работа. Тест: файловые системы
⚙️ Практическая работа. Настройка журналирования ext3, ext4
⚙️ Практическая работа. Восстановление данных
▶️ Видео. Восстановление данных
🗣️ Вебинар. IOT
📄 2.9 Пользователи, права, группы
📄 2.10 Процессы, демоны
📄 2.11 Система журналирования. Виды журналов
📄 2.12 syslog, ротация
📄 2.13 Дополнительные средства аудита: auditd, falco, sysmon for Linux
📄 2.14 Windows Subsystem for Linux (WSL)
⚙️ Практическая работа. Настройка пользовательских прав
⚙️ Практическая работа. Написание правил auditd
⚙️ Практическая работа. Настройка журналирования syslog, ротация
⚙️ Практическая работа. Сбор syslog на ELK
▶️ Видео. Работа со средствами аудита: auditd, auditctl
📄 3.1 Что и где нужно найти. С чего начать?
📄 3.2 Live Response. Сбор данных, команды и автоматизация
📄 3.3 Триажи и инструменты сбора
📄 3.4 Образ диска. Снятие, монтирование
📄 3.5 Оперативная память. Боль и особенности, обзор утилит
📄 3.6 Volatility: установка и настройка
📄 3.7 Volatility: основные плагины
📄 3.8 Strings, bstrings
⚙️ Практическая работа. Live Response. Вывод команд
⚙️ Практическая работа. Сбор триажа
⚙️ Практическая работа. Сбор образа / монтирование внешнего диска
⚙️ Практическая работа. Сбор оперативной памяти
🗣️ Вебинар. Анализ журналов
📄 3.9 Анализ журналов, связанных с процессом аутентификации
📄 3.10 Анализ журналов публично доступных приложений
📄 3.11 Анализ других журналов
📄 3.12 GUI и командная оболочка: реконструкция действий пользователя
⚙️ Практическая работа. Анализ журналов историй команд пользователя
⚙️ Практическая работа. Анализ журналов аутентификации
⚙️ Практическая работа. Анализ журналов веба
⚙️ Практическая работа. Анализ журналов пользовательских приложений
▶️ Видео. Сбор оперативной памяти
📄 3.13 Способы закрепления на хосте. Оптимальные методы поиска
📄 3.14 Работа с временными метками, построение таймлайнов
📄 3.15 Антифорензика: как атакующие могут скрывать свои действия и как это увидеть
⚙️ Практическая работа. Поиск следов закрепления
⚙️ Практическая работа. Составление таймлайна
⚙️ Практическая работа. Поиск следов применения техник антифорензики
🗣️ Вебинар. Антифорензика
📄 3.2 Live Response. Сбор данных, команды и автоматизация
📄 3.3 Триажи и инструменты сбора
📄 3.4 Образ диска. Снятие, монтирование
📄 3.5 Оперативная память. Боль и особенности, обзор утилит
📄 3.6 Volatility: установка и настройка
📄 3.7 Volatility: основные плагины
📄 3.8 Strings, bstrings
⚙️ Практическая работа. Live Response. Вывод команд
⚙️ Практическая работа. Сбор триажа
⚙️ Практическая работа. Сбор образа / монтирование внешнего диска
⚙️ Практическая работа. Сбор оперативной памяти
🗣️ Вебинар. Анализ журналов
📄 3.9 Анализ журналов, связанных с процессом аутентификации
📄 3.10 Анализ журналов публично доступных приложений
📄 3.11 Анализ других журналов
📄 3.12 GUI и командная оболочка: реконструкция действий пользователя
⚙️ Практическая работа. Анализ журналов историй команд пользователя
⚙️ Практическая работа. Анализ журналов аутентификации
⚙️ Практическая работа. Анализ журналов веба
⚙️ Практическая работа. Анализ журналов пользовательских приложений
▶️ Видео. Сбор оперативной памяти
📄 3.13 Способы закрепления на хосте. Оптимальные методы поиска
📄 3.14 Работа с временными метками, построение таймлайнов
📄 3.15 Антифорензика: как атакующие могут скрывать свои действия и как это увидеть
⚙️ Практическая работа. Поиск следов закрепления
⚙️ Практическая работа. Составление таймлайна
⚙️ Практическая работа. Поиск следов применения техник антифорензики
🗣️ Вебинар. Антифорензика
📄 4.1 VMware ESXi / vCenter
📄 4.2 OpenStack
📄 4.3 Docker и Kubernetes
⚙️ Практическая работа. Расследование инцидентов для Linux-контейнеров
🗣️ Вебинар. Форензика для контейнеров и контейнерных инфраструктур (Luntry)
📄 4.2 OpenStack
📄 4.3 Docker и Kubernetes
⚙️ Практическая работа. Расследование инцидентов для Linux-контейнеров
🗣️ Вебинар. Форензика для контейнеров и контейнерных инфраструктур (Luntry)
📄 5.1 Выявление признаков вредоносного кода. Статический и динамический анализы
⚙️ Практическая работа. Базовый анализ экземпляра ВПО
⚙️ Практическая работа. Базовый анализ экземпляра ВПО
📄 6.1 Incident Response vs Threat Hunting. Поиск угроз среди телеметрии конечных узлов
📄 6.2 Intelligence-driven Incident Response. Основные принципы, практическое применение и советы
⚙️ Практическая работа. Поиск контекста для индикатора
📄 6.2 Intelligence-driven Incident Response. Основные принципы, практическое применение и советы
⚙️ Практическая работа. Поиск контекста для индикатора
📄 7.1 Написание отчётов и рекомендаций по результатам расследования. Лучшие практики
⚙️ Практическая работа. Расследование инцидента
⚙️ Практическая работа. Расследование инцидента
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Примеры практических заданий
Файловая система: сбор данных, конвертация временных меток, составление таймлайна, анализ
Предварительный анализ живой системы. Разбор и интерпретация используемых команд
Восстановление данных при помощи сигнатурного метода
Создание правил подсистемы auditd для расширенного логирования
Просмотр метаданных файла
Анализ файловой структуры. Получение информации о файловой системе копии диска
Необходимые знания для освоения программы курса
- Базовые знания операционных систем и сетей. Навыки по работе с командной строкой облегчат процесс прохождения курса, но не являются строго обязательными
- Теоретическое знание по основным средствам безопасности (СЗИ)
Технические рекомендации для прохождения курса
- Процессор с поддержкой 64-битной архитектуры
- Минимум 8 Гб оперативной памяти, лучше — 16 Гб+
Как проходит обучение
В процессе освоения курса вы научитесь реагировать и расследовать инциденты в Linux-системах, используя знания об их устройстве, актуальных киберугрозах.
Вы изучаете материал в свободное время без привязки к группе. Есть общий дедлайн по теории и заданиям, а нагрузку распределяете сами — учитесь в удобное для вас время. А также ходите на онлайн-вебинары и общаетесь в чате с экспертами и студентами. Рекомендуем выделять на курс 10−15 часов в неделю.
Вы изучаете материал в свободное время без привязки к группе. Есть общий дедлайн по теории и заданиям, а нагрузку распределяете сами — учитесь в удобное для вас время. А также ходите на онлайн-вебинары и общаетесь в чате с экспертами и студентами. Рекомендуем выделять на курс 10−15 часов в неделю.
Чтобы выполнить задачи и обеспечить безопасность, вам нужно столкнуться с такими форматами:
Лекции и скринкасты
До 50% информации изложено в формате лекций, скринкастов и проверочных тестов — это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● Разбор кейсов из практики наставника или приглашённого эксперта.
● Постановка задачи для самостоятельного решения.
● Разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются специалисты каждый день. При решении задач обучающиеся используют реальные инструменты и платформы.
До 50% информации изложено в формате лекций, скринкастов и проверочных тестов — это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● Разбор кейсов из практики наставника или приглашённого эксперта.
● Постановка задачи для самостоятельного решения.
● Разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются специалисты каждый день. При решении задач обучающиеся используют реальные инструменты и платформы.
О компании
INSECA — это команда опытных экспертов в сфере информационной безопасности, которым небезразлична судьба отрасли. Мы знаем, с чем ежедневно приходится сталкиваться специалистам: много рутинной работы, отсутствие автоматизации процессов, несогласованность подразделений, недостаточность финансирования, бюрократия, нет доступа к иностранному ПО, информация быстро устаревает, а искать достоверную и актуальную долго и сложно.
Более пяти лет мы собираем базу знаний для решения собственных задач, добавили к этому более десяти лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создаёт образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чём рассказывают на курсах, и, главное, готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
Более пяти лет мы собираем базу знаний для решения собственных задач, добавили к этому более десяти лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создаёт образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чём рассказывают на курсах, и, главное, готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
Внедряем лучший зарубежный опыт и адаптируем его под наши реалии
В команде только практикующие эксперты
Учим тому, что точно пригодится в работе
Объединяем специалистов ИБ для обмена опытом
У нас учатся
Подать заявку
Длительность: 9 недель
Старт: 8 ноября
Старт: 8 ноября
78 000 ₽
102 000 ₽
Рассрочка 0% без переплат
13 000 ₽/месяц
на 6 месяцев
6 500 ₽/месяц
на 12 месяцев
для физических лиц, госкомпаний и вузов
для юридических лиц
Стоимость курса %
Стоимость курса
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты