9 недель
Длительность
29 мая 2026
Старт группы
Научитесь выявлять признаки компрометации, работать с файловыми артефактами, памятью и контейнерами, а также проводить расследования инцидентов и выстраивать защиту
Linux Incident Response & Security
Практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах
Партнер курса
Кому подходит курс
Специалистам с опытом в ИТ/ИБ от 1 года, желающим прокачать свои навыки в реагировании на инциденты в Linux-средах
Аналитикам SOC, чтобы узнать, как работают реальные атаки и уметь их выявлять, а также приоритезировать события
ИТ-администраторам, для понимания, что и в какой последовательности делать при столкновении с инцидентом
Руководителям ИТ-отделов, перед которыми стоит задача внедрить лучшие практики по мере построения/модернизации Linux-инфраструктуры
Необходимые знания
Знать основы операционных систем и сетей
это фундамент курса, опыт работы в командной строке будет плюсом
Технические аспекты
- Процессор с поддержкой 64-битной архитектуры
- 250 Гб свободного места на диске
- Минимум 8 Гб оперативной памяти, лучше — 16 Гб+
Обладать теоретическими знаниями основных средств защиты информации (СЗИ)
они помогут быстрее освоить практические навыки
Технологии и инструменты курса
the sleuth kit (TSK)
osquery
uac
catscale
velociraptor
CyLR
sysmon for linux
debugfs
LiME
AVML
dd
dc3dd
dcfldd
photorec
foremost
volatility
strings
bstrings
rkhunter
bulk_extractor
plaso
timesketch
yara
FTK Imager
floss
paladin
R-Studio
thor Lite
UFS Explorer
Zircolite
ddrescue
elfparser-ng
ext4magic
extundelete
scalpel
Примеры заданий
Программа курса
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс около 15 часов в неделю.
Теория
Демонстрация
Практика
Тест
Вебинар
📄 1.1 Актуальность темы. Краткая история ОС. Преимущества и сложности в работе
📄 1.2 Как менялся ландшафт угроз и какой он сейчас? Актуальные кибератаки
📄 1.3 Расследование и реагирование на инцидент. Распространённые ошибки
📄 1.4 Типовая цепочка атаки. Матрица MITRE ATT&CK
⚙️ Практическая работа. Тест: реагирование на инциденты ИБ
⚙️ Практическая работа. Анализ публичного отчёта с выделением найденных тактик, техник и процедур
▶️ Видео. Работа с MITRE ATT&CK
📄 1.2 Как менялся ландшафт угроз и какой он сейчас? Актуальные кибератаки
📄 1.3 Расследование и реагирование на инцидент. Распространённые ошибки
📄 1.4 Типовая цепочка атаки. Матрица MITRE ATT&CK
⚙️ Практическая работа. Тест: реагирование на инциденты ИБ
⚙️ Практическая работа. Анализ публичного отчёта с выделением найденных тактик, техник и процедур
▶️ Видео. Работа с MITRE ATT&CK
📄 2.1 Системы и дистрибутивы
📄 2.2 Работа ОС. Этапы загрузки. Иерархия процессов
📄 2.3 Структура каталогов. Файловые системы
📄 2.4 Ext2/ext3/ext4
📄 2.5 Btrfs
📄 2.6 XFS
📄 2.7 Файловые структуры: суперблоки, понятие айноды
📄 2.8 Восстановление данных
⚙️ Практическая работа. Тест: файловые системы
⚙️ Практическая работа. Настройка журналирования ext3, ext4
⚙️ Практическая работа. Восстановление данных
▶️ Видео. Восстановление данных
🗣️ Вебинар. Linux в холодильнике. Умный дом и Интернет вещей
📄 2.9 Пользователи, права, группы
📄 2.10 Процессы, демоны
📄 2.11 Система журналирования. Виды журналов
📄 2.12 syslog, ротация
📄 2.13 Дополнительные средства аудита: auditd, falco, sysmon for Linux
📄 2.14 Windows Subsystem for Linux (WSL)
⚙️ Практическая работа. Настройка пользовательских прав
⚙️ Практическая работа. Написание правил auditd
⚙️ Практическая работа. Настройка журналирования syslog, ротация
⚙️ Практическая работа. Сбор syslog на ELK
▶️ Видео. Работа со средствами аудита: auditd, auditctl
📄 2.2 Работа ОС. Этапы загрузки. Иерархия процессов
📄 2.3 Структура каталогов. Файловые системы
📄 2.4 Ext2/ext3/ext4
📄 2.5 Btrfs
📄 2.6 XFS
📄 2.7 Файловые структуры: суперблоки, понятие айноды
📄 2.8 Восстановление данных
⚙️ Практическая работа. Тест: файловые системы
⚙️ Практическая работа. Настройка журналирования ext3, ext4
⚙️ Практическая работа. Восстановление данных
▶️ Видео. Восстановление данных
🗣️ Вебинар. Linux в холодильнике. Умный дом и Интернет вещей
📄 2.9 Пользователи, права, группы
📄 2.10 Процессы, демоны
📄 2.11 Система журналирования. Виды журналов
📄 2.12 syslog, ротация
📄 2.13 Дополнительные средства аудита: auditd, falco, sysmon for Linux
📄 2.14 Windows Subsystem for Linux (WSL)
⚙️ Практическая работа. Настройка пользовательских прав
⚙️ Практическая работа. Написание правил auditd
⚙️ Практическая работа. Настройка журналирования syslog, ротация
⚙️ Практическая работа. Сбор syslog на ELK
▶️ Видео. Работа со средствами аудита: auditd, auditctl
📄 3.1 Что и где нужно найти. С чего начать?
📄 3.2 Live Response. Сбор данных, команды и автоматизация
📄 3.3 Триажи и инструменты сбора
📄 3.4 Образ диска. Снятие, монтирование
📄 3.5 Оперативная память. Боль и особенности, обзор утилит
📄 3.6 Volatility: установка и настройка
📄 3.7 Volatility: основные плагины
📄 3.8 Strings, bstrings
⚙️ Практическая работа. Live Response. Вывод команд
⚙️ Практическая работа. Сбор триажа
⚙️ Практическая работа. Сбор образа / монтирование внешнего диска
⚙️ Практическая работа. Сбор оперативной памяти
🗣️ Вебинар. Анализ журналов
📄 3.9 Анализ журналов, связанных с процессом аутентификации
📄 3.10 Анализ журналов публично доступных приложений
📄 3.11 Анализ других журналов
📄 3.12 GUI и командная оболочка: реконструкция действий пользователя
⚙️ Практическая работа. Анализ журналов историй команд пользователя
⚙️ Практическая работа. Анализ журналов аутентификации
⚙️ Практическая работа. Анализ журналов веб-сервера
⚙️ Практическая работа. Анализ журналов пользовательских приложений
▶️ Видео. Сбор оперативной памяти
📄 3.13 Способы закрепления на хосте. Оптимальные методы поиска
📄 3.14 Работа с временными метками, построение таймлайнов
📄 3.15 Антифорензика: как атакующие могут скрывать свои действия и как это увидеть
⚙️ Практическая работа. Поиск следов закрепления
⚙️ Практическая работа. Составление таймлайна
⚙️ Практическая работа. Поиск следов применения техник антифорензики
🗣️ Вебинар. Антифорензика
📄 3.2 Live Response. Сбор данных, команды и автоматизация
📄 3.3 Триажи и инструменты сбора
📄 3.4 Образ диска. Снятие, монтирование
📄 3.5 Оперативная память. Боль и особенности, обзор утилит
📄 3.6 Volatility: установка и настройка
📄 3.7 Volatility: основные плагины
📄 3.8 Strings, bstrings
⚙️ Практическая работа. Live Response. Вывод команд
⚙️ Практическая работа. Сбор триажа
⚙️ Практическая работа. Сбор образа / монтирование внешнего диска
⚙️ Практическая работа. Сбор оперативной памяти
🗣️ Вебинар. Анализ журналов
📄 3.9 Анализ журналов, связанных с процессом аутентификации
📄 3.10 Анализ журналов публично доступных приложений
📄 3.11 Анализ других журналов
📄 3.12 GUI и командная оболочка: реконструкция действий пользователя
⚙️ Практическая работа. Анализ журналов историй команд пользователя
⚙️ Практическая работа. Анализ журналов аутентификации
⚙️ Практическая работа. Анализ журналов веб-сервера
⚙️ Практическая работа. Анализ журналов пользовательских приложений
▶️ Видео. Сбор оперативной памяти
📄 3.13 Способы закрепления на хосте. Оптимальные методы поиска
📄 3.14 Работа с временными метками, построение таймлайнов
📄 3.15 Антифорензика: как атакующие могут скрывать свои действия и как это увидеть
⚙️ Практическая работа. Поиск следов закрепления
⚙️ Практическая работа. Составление таймлайна
⚙️ Практическая работа. Поиск следов применения техник антифорензики
🗣️ Вебинар. Антифорензика
📄 4.1 VMware ESXi / vCenter
📄 4.2 OpenStack
📄 4.3 Docker и Kubernetes
⚙️ Практическая работа. Расследование инцидентов для Linux-контейнеров
🗣️ Вебинар. Форензика для контейнеров и контейнерных инфраструктур (Luntry)
📄 4.2 OpenStack
📄 4.3 Docker и Kubernetes
⚙️ Практическая работа. Расследование инцидентов для Linux-контейнеров
🗣️ Вебинар. Форензика для контейнеров и контейнерных инфраструктур (Luntry)
📄 5.1 Выявление признаков вредоносного кода. Статический и динамический анализы
⚙️ Практическая работа. Базовый анализ экземпляра ВПО
⚙️ Практическая работа. Базовый анализ экземпляра ВПО
📄 6.1 Incident Response vs Threat Hunting. Поиск угроз среди телеметрии конечных узлов
📄 6.2 Intelligence-driven Incident Response. Основные принципы, практическое применение и советы
⚙️ Практическая работа. Поиск контекста для индикатораcalc
📄 6.2 Intelligence-driven Incident Response. Основные принципы, практическое применение и советы
⚙️ Практическая работа. Поиск контекста для индикатораcalc
📄 7.1 Написание отчётов и рекомендаций по результатам расследования. Лучшие практики
⚙️ Практическая работа. Расследование инцидента
⚙️ Практическая работа. Расследование инцидента
Авторы курса
Более 8 лет работает в сфере практической ИБ
Начинала карьерный путь с инженера и аналитика SOC
Сейчас руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз
Сертификаты
GIAC Certified Forensic Analyst (GCFA)
GIAC Advisory Board
GIAC Experienced Forensic Analyst (GX-FA)
Лада Антипова
Incident Response Team Lead
В ИТ\ИБ с 2005 года, в Digital Forensic с 2013 года, с 2022 года начал работать в Incident Response и за 2 года прошел путь от специалиста до лид респондера в одном из топовых вендоров по информационной безопасности
Принимал участие в расследованиях многих громких инцидентов последних лет
Сертификаты
GIAC Certified Forensic Analyst (GCFA)
Антон Степанов
Lead Incident Responder
Специализируется на безопасности контейнеров и Kubernetes
Спикер на крупнейших российских ИБ и ИТ конференциях
Багхантер и автор CVE и BDU
Ключевые навыки
Kubernetes Security
DevSecOps
Cloud & Container Security
Сергей Канибор
R&D / Container Security в Luntry
Более 8 лет работает в сфере практической ИБ
Начинала карьерный путь с инженера и аналитика SOC
Сейчас руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз
Сертификаты
GIAC Certified Forensic Analyst (GCFA)
GIAC Advisory Board
GIAC Experienced Forensic Analyst (GX-FA)
Антон Степанов
Lead Incident Responder
В ИТ\ИБ с 2005 года, в Digital Forensic с 2013 года, с 2022 года начал работать в Incident Response и за 2 года прошел путь от специалиста до лид респондера в одном из топовых вендоров по информационной безопасности
Принимал участие в расследованиях многих громких инцидентов последних лет
Сертификаты
GIAC Certified Forensic Analyst (GCFA)
Специализируется на безопасности контейнеров и Kubernetes
Спикер на крупнейших российских ИБ и ИТ конференциях
Багхантер и автор CVE и BDU
Ключевые навыки
Kubernetes Security
DevSecOps
Cloud & Container Security
Как проходит обучение
Комплексный подход к обучению: от теории к практике
30%
Как
проходит обучение
проходит обучение
70%
Лекции и скринкасты
Вебинары
и воркшопы
с экспертами
и воркшопы
с экспертами
Практические
задания
задания
Практика
на платформе
на платформе
Практикующие эксперты
Нарабатывайте собственный опыт. Наши эксперты не предлагают готовые ответы, а развивают ваше мышление.
Поддержка сообщества
Задавайте вопросы преподавателям, обменивайтесь опытом с одногруппниками и получайте помощь от кураторов.
Гибкий график
Совмещайте учебу с работой, без отрыва от важных задач.
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Какая из аббревиатур не относится к дистрибутивам Linux?
Не верно
Не верно
Верно!
Не верно
Какой загрузчик используется в большинстве дистрмибутивов Linux?
Не верно
Не верно
Не верно
Верно!
Матрица MITRE ATT&CK описывает поведение атакующих в процессе атаки. Какой тактики нет в матрице MITRE?
Не верно
Верно!
Не верно
Не верно
Как называется корневой каталог в Linux-системах?
Верно!
Не верно
Не верно
Не верно
В Linux можно использовать много разных файловых систем под любую задачу. А Какие из нижеперечисленных ФС не относятся к Linux?
Верно!
Не верно
Не верно
Верно!
Не верно
Как в Linux называется процесс, который исполняет системные или сервисные задачи?
-
-
+ Демон
-
-
-
+ Демон
-
Не верно
Не верно
Верно!
Не верно
Для выполнения отдельной команды с повышенными привилегиями в Linux используется команда sudo. А как она расшифровывается?
Верно!
Не верно
Не верно
Не верно
Что такое auditd?
Не верно
Не верно
Не верно
Верно!
Какая команда в Linux позволяет копировать данные поблочно?
Не верно
Не верно
Не верно
Верно!
Для сбора одного из криминалистических артефактов в Linux примменяется инструмент с названием LiME. Как вы думаете, для сбора чего он используется?
- для сбора данных из системных каталогов
- для выгрузки загрузочного сектора и суперблока файловой системы
-
- может использоваться для любой вышеперчисленной задачи - это универсальный комбайн
- для сбора данных из системных каталогов
- для выгрузки загрузочного сектора и суперблока файловой системы
-
- может использоваться для любой вышеперчисленной задачи - это универсальный комбайн
Не верно
Не верно
Верно!
Не верно
Среди методов борьбы с киберугрозами есть Threat Hunting. Как вы думаете, что это такое?
Не верно
Не верно
Верно!
Для чего в Linux может быть использована команда ss -tupln?
Не верно
Верно!
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Какая из аббревиатур не относится к дистрибутивам Linux?
Не верно
Не верно
Верно!
Не верно
Какой загрузчик используется в большинстве дистрмибутивов Linux?
Не верно
Не верно
Не верно
Не верно Верно!
Матрица MITRE ATT&CK описывает поведение атакующих в процессе атаки. Какой тактики нет в матрице MITRE?
Не верно
Верно!
Не верно
Не верно
Как называется корневой каталог в Linux-системах?
Верно!
Не верно
Не верно
Не верно
В Linux можно использовать много разных файловых систем под любую задачу. А Какие из нижеперечисленных ФС не относятся к Linux?
Верно!
Не верно
Не верно
Верно!
Не верно
Как в Linux называется процесс, который исполняет системные или сервисные задачи?
Не верно
Не верно
Верно!
Не верно
Для выполнения отдельной команды с повышенными привилегиями в Linux используется команда sudo. А как она расшифровывается?
Верно!
Не верно
Не верно
Не верно
Что такое auditd?
Не верно
Не верно
Не верно
Верно!
Какая команда в Linux позволяет копировать данные поблочно?
Не верно
Не верно
Не верно
Верно!
Для сбора одного из криминалистических артефактов в Linux примменяется инструмент с названием LiME. Как вы думаете, для сбора чего он используется?
Не верно
Не верно
Верно!
Не верно
Среди методов борьбы с киберугрозами есть Threat Hunting. Как вы думаете, что это такое?
Не верно
Не верно
Верно!
Для чего в Linux может быть использована команда ss -tupln?
Не верно
Верно!
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Результаты освоения курса
Вместе с экспертами-практиками во время обучения:
Научитесь собирать дампы памяти, образы дисков и триажи
Сможете распознавать подозрительную активность, в том числе факты применения техник антифорензики
Узнаете, как оценивать возможность восстановления информации, а при положительном результате — извлекать ее
Будете проводить анализ собранных данных как системными утилитами (grep, strings, sysctl), так и сторонними инструментами (dissect, plaso, TSK и так далее)
Сможете давать рекомендации для повышения защищенности текущей инфраструктуры и модернизации системы
Научитесь писать отчеты по расследованию инцидентов ИБ
После прохождения курса получаете
Удостоверение о повышении квалификации
Электронный сертификат
Записаться на обучение
Старт:
29 мая 2026
Идет набор
Длительность:
9 недель
Стоимость курса
102 000 ₽
для юридических лиц
Стоимость со скидкой
78 000 ₽
для физических лиц,
госкомпаний и вузов
госкомпаний и вузов
Рассрочка 0%
на 6 месяцев от INSECA
Не является кредитом. По договору с ООО "Инсека" с поэтапной оплатой.
13 000 ₽/мес.
на 12 месяцев от банка партнера
6 500 ₽/мес.
Яндекс сплит
Не является кредитом. От вас не нужны документы и подписи, достаточно номера телефона — быстро, просто и безопасно
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты