Практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах

📄 1.1 Актуальность темы. Краткая история ОС. Преимущества и сложности в работе
📄 1.2 Как менялся ландшафт угроз и какой он сейчас? Актуальные кибератаки
📄 1.3 Расследование и реагирование на инцидент. Распространённые ошибки
📄 1.4 Типовая цепочка атаки. Матрица MITRE ATT&CK
⚙️ Практическая работа. Тест: реагирование на инциденты ИБ
⚙️ Практическая работа. Анализ публичного отчёта с выделением найденных тактик, техник и процедур
▶️ Видео. Работа с MITRE ATT&CK

📄 2.1 Системы и дистрибутивы
📄 2.2 Работа ОС. Этапы загрузки. Иерархия процессов
📄 2.3 Структура каталогов. Файловые системы
📄 2.4 Ext2/ext3/ext4
📄 2.5 Btrfs
📄 2.6 XFS
📄 2.7 Файловые структуры: суперблоки, понятие айноды
📄 2.8 Восстановление данных
⚙️ Практическая работа. Тест: файловые системы
⚙️ Практическая работа. Настройка журналирования ext3, ext4
⚙️ Практическая работа. Восстановление данных
▶️ Видео. Восстановление данных
🗣️ Вебинар. Linux в холодильнике. Умный дом и Интернет вещей
📄 2.9 Пользователи, права, группы
📄 2.10 Процессы, демоны
📄 2.11 Система журналирования. Виды журналов
📄 2.12 syslog, ротация
📄 2.13 Дополнительные средства аудита: auditd, falco, sysmon for Linux
📄 2.14 Windows Subsystem for Linux (WSL)
⚙️ Практическая работа. Настройка пользовательских прав
⚙️ Практическая работа. Написание правил auditd
⚙️ Практическая работа. Настройка журналирования syslog, ротация
⚙️ Практическая работа. Сбор syslog на ELK
▶️ Видео. Работа со средствами аудита: auditd, auditctl

📄 3.1 Что и где нужно найти. С чего начать?
📄 3.2 Live Response. Сбор данных, команды и автоматизация
📄 3.3 Триажи и инструменты сбора
📄 3.4 Образ диска. Снятие, монтирование
📄 3.5 Оперативная память. Боль и особенности, обзор утилит
📄 3.6 Volatility: установка и настройка
📄 3.7 Volatility: основные плагины
📄 3.8 Strings, bstrings
⚙️ Практическая работа. Live Response. Вывод команд
⚙️ Практическая работа. Сбор триажа
⚙️ Практическая работа. Сбор образа / монтирование внешнего диска
⚙️ Практическая работа. Сбор оперативной памяти
🗣️ Вебинар. Анализ журналов
📄 3.9 Анализ журналов, связанных с процессом аутентификации
📄 3.10 Анализ журналов публично доступных приложений
📄 3.11 Анализ других журналов
📄 3.12 GUI и командная оболочка: реконструкция действий пользователя
⚙️ Практическая работа. Анализ журналов историй команд пользователя
⚙️ Практическая работа. Анализ журналов аутентификации
⚙️ Практическая работа. Анализ журналов веб-сервера
⚙️ Практическая работа. Анализ журналов пользовательских приложений
▶️ Видео. Сбор оперативной памяти
📄 3.13 Способы закрепления на хосте. Оптимальные методы поиска
📄 3.14 Работа с временными метками, построение таймлайнов
📄 3.15 Антифорензика: как атакующие могут скрывать свои действия и как это увидеть
⚙️ Практическая работа. Поиск следов закрепления
⚙️ Практическая работа. Составление таймлайна
⚙️ Практическая работа. Поиск следов применения техник антифорензики
🗣️ Вебинар. Антифорензика

📄 4.1 VMware ESXi / vCenter
📄 4.2 OpenStack
📄 4.3 Docker и Kubernetes
⚙️ Практическая работа. Расследование инцидентов для Linux-контейнеров
🗣️ Вебинар. Форензика для контейнеров и контейнерных инфраструктур (Luntry)

📄 5.1 Выявление признаков вредоносного кода. Статический и динамический анализы
⚙️ Практическая работа. Базовый анализ экземпляра ВПО

📄 6.1 Incident Response vs Threat Hunting. Поиск угроз среди телеметрии конечных узлов
📄 6.2 Intelligence-driven Incident Response. Основные принципы, практическое применение и советы
⚙️ Практическая работа. Поиск контекста для индикатора

📄 7.1 Написание отчётов и рекомендаций по результатам расследования. Лучшие практики
⚙️ Практическая работа. Расследование инцидента
🗣️ Вебинар. Написание отчетов. Ответы на вопросы

Курс подойдет:
- Специалистам с опытом в ИТ/ИБ от 1 года, желающим прокачать свои навыки в реагировании на инциденты в Linux-средах
- Аналитикам SOC, чтобы узнать, как работают реальные атаки и уметь их выявлять, а также приоритезировать события
- ИТ-администраторам, для понимания, что и в какой последовательности делать при столкновении с инцидентом
- Руководителям ИТ и ИБ-отделов, для лучшего понимания процессов реагирования в Linux-инфраструктуре и её правильного построения.

Для успешного прохождения курса необходимо знать:
- Основы операционных систем и сетей это фундамент курса, опыт работы в командной строке будет плюсом
- Основные средства защиты информации (СЗИ), они помогут быстрее освоить практические навыки.

В рамках курса вы познакомитесь с инструментами:
The Sleuth Kit (TSK), osquery, UAC
Cat-Scale, Velociraptor, Sysmon for linux
debugfs, LiME, AVML
dd, dc3dd, dcfldd
photorec, foremost,Volatility
rkhunter, bulk_extractor, plaso
timesketch, yara, FTK Imager
floss, Paladin, R-Studio
Thor Lite, UFS Explorer, Zircolite
ddrescue, elfparser-ng
ext4magic, extundelete
scalpel, Nirsoft Tools

Все практические работы помогают отрабатывать навыки анализирования последствий взлома и реагирования на инциденты.

Все практические работы выполняются локально на хосте. Необходимое программное обеспечение вы скачаете и установите в процессе обучения по нашим инструкциям.

Для комфортного обучения рекомендуется:
- Процессор с поддержкой 64-битной архитектуры
- 250 Гб свободного места на диске
- Минимум 8 Гб оперативной памяти, лучше — 16 Гб+

Для успешного завершения курса необходимо выполнить 15 из 24 практических работ.

Linux Incident Response & Security (LIRS) обеспечивает защиту и реагирование на инциденты в Linux-инфраструктуре.

С его помощью специалисты:
- анализируют инциденты и действия злоумышленников на уровне ОС
- исследуют системные логи, процессы, сетевую активность и файлы для выявления атак
- локализуют и нейтрализуют вредоносное влияние на серверы и приложения
- восстанавливают систему после атак и предотвращают повторные инциденты
- внедряют рекомендации по повышению безопасности Linux-среды и соответствию стандартам
- помогают предотвращать повторные атаки за счёт улучшения защиты.