Кому подходит курс
Специалистам с опытом в IT/ИБ от 1 года, которые хотят заниматься реагированием на инциденты
Аналитикам SOC, желающим углубиться в полноцикловое реагирование
Начинающим специалистам по DFIR, желающим систематизировать знания и получить полноценное понимание предметной области
Необходимые знания
Понимать основы архитектуры
современных корпоративных инфраструктур и работы сетевых протоколов
Иметь навыки работы
с гипервизорами (Virtualbox, VMware)
Иметь опыт администрирования
операционных систем Linux и Windows на базовом уровне
Уметь читать техническую литературу
на английском языке, например: https://nvd.nist.gov
Технологии и инструменты курса
AccessData FTK Imager
Belkasoft RAM Capturer
Volatility
Nirsoft
Mailcat
Zimmerman tools
Sysinternals
RStudio
Velociraptor
UNetbootin
MITRE Framework
Cyber kill-chain
NIST Framework
Примеры заданий
Программа курса
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс около 15 часов в неделю.
Теория
Демонстрация
Практика
Тест
Вебинар
Бонус
📄 1.1 Что такое цифровая криминалистика и реагирование на инциденты и как они соотносятся
📄 1.2 Краткая история развития цифровой криминалистики
📄 1.3 Виды форензики
📄 1.4 Жизненный цикл IR
📄 1.5 Онтология кибератаки: Cyber kill-chain, MITRE ATT&CK
⚙️ Практическая работа. Разбор отчета вендора с выделением TTP по MITRE ATT&CK
📄 1.6 Современные кибератаки
✅ Тест
📄 1.2 Краткая история развития цифровой криминалистики
📄 1.3 Виды форензики
📄 1.4 Жизненный цикл IR
📄 1.5 Онтология кибератаки: Cyber kill-chain, MITRE ATT&CK
⚙️ Практическая работа. Разбор отчета вендора с выделением TTP по MITRE ATT&CK
📄 1.6 Современные кибератаки
✅ Тест
Оперативная память
📄 2.1 Общие сведения о памяти
📄 2.2 Дампим память. Инструменты
⚙️ Практическая работа. Создание дампа памяти на ОС Windows
📄 2.3 Инструменты создания дампа в ОС Linux
▶️ Скринкаст
⚙️ Практическая работа. Создание дампа памяти на ОС Linux
📄 2.4 Отдельные вопросы снятия дампов оперативной памяти: виртуальные машины, deadbox и прочие прелести
🗣️ Вебинар. Эволюция кибератак. Актуальные кибератаки.
Создание образов дисков
📄 2.5 Интро. Коробки живые и мертвые. Подготовка к созданию образов
📄 2.6 Блокирование записи: аппаратное и программное. Алгоритм безопасного монтирования и сбора
⚙️ Практическая работа. Безопасное монтирование на ОС UNIX
📄 2.7 Инструменты создания образов диска в режиме deadbox без извлечения диска
▶️ Скринкаст
⚙️ Практическая работа. Создание образа в режиме deadbox при помощи внешнего загрузочного накопителя
📄 2.8 Инструменты создания образов диска в режиме livebox. FTK Imager
▶️ Скринкаст
⚙️ Практическая работа. Создание образа диска на Windows при помощи FTK Imager в режиме livebox
Специфика ручного и удалённого сбора данных при помощи встроенных инструментов
📄 2.9 Безопасность учетных записей для сбора данных
📄 2.10 Сбор данных при помощи WMI
⚙️ Практическая работа. Сбор данных при помощи WMI
📄 2.11 Сбор данных при помощи PowerShell
⚙️ Практическая работа. Сбор данных при помощи PowerShell
Triage
📄 2.12 Обзор метода triage: лучшие практики сбора и применения
📄 2.13 Triage-артефакты на Windows
📄 2.14 Triage-артефакты на Linux, MacOS
📄 2.15 FastIR collector: гибкий инструмент сбора артефактов
⚙️ Практическая работа. Сбор triage данных при помощи FastIR collector
Фреймворки
📄 2.16 Краткий обзор популярных фреймворков и их особенности
📄 2.17 Velociraptor: общие концепции
📄 2.18 Velociraptor: инструкция по разворачиванию серверной части
📄 2.19 Velociraptor: инструкция по разворачиванию клиентской части на UNIX
📄 2.20 Velociraptor: инструкция по разворачиванию клиентской части на Windows
▶️ Скринкаст
⚙️ Практическая работа. Установка и работа с Velociraptor
✅ Тест
🗣️ Вебинар. Выбор стратегии сбора: решение гипотетических мини-кейсов, обсуждение вопросов сбора
📄 2.1 Общие сведения о памяти
📄 2.2 Дампим память. Инструменты
⚙️ Практическая работа. Создание дампа памяти на ОС Windows
📄 2.3 Инструменты создания дампа в ОС Linux
▶️ Скринкаст
⚙️ Практическая работа. Создание дампа памяти на ОС Linux
📄 2.4 Отдельные вопросы снятия дампов оперативной памяти: виртуальные машины, deadbox и прочие прелести
🗣️ Вебинар. Эволюция кибератак. Актуальные кибератаки.
Создание образов дисков
📄 2.5 Интро. Коробки живые и мертвые. Подготовка к созданию образов
📄 2.6 Блокирование записи: аппаратное и программное. Алгоритм безопасного монтирования и сбора
⚙️ Практическая работа. Безопасное монтирование на ОС UNIX
📄 2.7 Инструменты создания образов диска в режиме deadbox без извлечения диска
▶️ Скринкаст
⚙️ Практическая работа. Создание образа в режиме deadbox при помощи внешнего загрузочного накопителя
📄 2.8 Инструменты создания образов диска в режиме livebox. FTK Imager
▶️ Скринкаст
⚙️ Практическая работа. Создание образа диска на Windows при помощи FTK Imager в режиме livebox
Специфика ручного и удалённого сбора данных при помощи встроенных инструментов
📄 2.9 Безопасность учетных записей для сбора данных
📄 2.10 Сбор данных при помощи WMI
⚙️ Практическая работа. Сбор данных при помощи WMI
📄 2.11 Сбор данных при помощи PowerShell
⚙️ Практическая работа. Сбор данных при помощи PowerShell
Triage
📄 2.12 Обзор метода triage: лучшие практики сбора и применения
📄 2.13 Triage-артефакты на Windows
📄 2.14 Triage-артефакты на Linux, MacOS
📄 2.15 FastIR collector: гибкий инструмент сбора артефактов
⚙️ Практическая работа. Сбор triage данных при помощи FastIR collector
Фреймворки
📄 2.16 Краткий обзор популярных фреймворков и их особенности
📄 2.17 Velociraptor: общие концепции
📄 2.18 Velociraptor: инструкция по разворачиванию серверной части
📄 2.19 Velociraptor: инструкция по разворачиванию клиентской части на UNIX
📄 2.20 Velociraptor: инструкция по разворачиванию клиентской части на Windows
▶️ Скринкаст
⚙️ Практическая работа. Установка и работа с Velociraptor
✅ Тест
🗣️ Вебинар. Выбор стратегии сбора: решение гипотетических мини-кейсов, обсуждение вопросов сбора
Блок 1. Windows
Артефакты получения доступа к системе
📄 3.1 Артефакты работы с email и инструменты их исследования
⚙️ Практическая работа. Анализ артефактов работы с email в Windows
📄 3.2 Артефакты работы с сетью «Интернет» и инструменты их исследования
⚙️ Практическая работа. Поиск подозрительной активности по артефактам браузера
📄 3.3. Артефакты подключения USB-носителей и инструменты их исследования
📄 3.4 Артефакты удалённого подключения и особенности их исследования
⚙️ Практическая работа. Поиск артефактов удалённого подключения на Windows
📄 3.5. Артефакты эксплуатирования уязвимостей публично-доступных серверов
Артефакты запуска
📄 3.6 Prefetch-файлы
⚙️ Практическая работа. Исследование активности в системе по Prefetch-файлам
📄 3.7 Windows Timeline и SRUM
📄 3.8 BAM/DAM, UserAssist и RunMRU
📄 3.9 Amcache и Shimcache
⚙️ Практическая работа. Исследование активности в системе по Amcache и Shimcache
📄 3.10 Shell Items: LNK-файлы, Jump-листы и Shellbags
🗣️ Вебинар. Работа с файловой системой NTFS. Оптимальные методы анализа
Артефакты закрепления в системе
📄 3.11 Артефакты закрепления в системе
⚙️ Практическая работа. Поиск следов закрепления в Windows
Артефакты повышения привилегий и перемещения по внутренней сети
📄 3.12. RDP, WMI
📄 3.13 SMB, UAL, exec-like инструменты
⚙️ Практическая работа. Поиск следов перемещения по внутренней сети Windows
📄 3.14 Аутентификация в Windows: LSASS, NTDS.dit, WDigest
📄 3.15 Основные атаки на протоколы аутентификации Windows
Отдельные системные источники данных
📄 3.16 Теневые копии Windows
📄 3.17 Журналы Windows: агрегация и ключевые артефакты использования пользовательских аккаунтов
⚙️ Практическая работа. Поиск подозрительных событий в журналах Windows
📄 3.18 Работа с файловой системой: файл $MFT, структура MFT-записи
▶️ Скринкаст
📄 3.19 Работа с файловой системой: файлы $LogFile, $UsnJrnl
⚙️ Практическая работа. Восстановление хронологии событий в системе по MFT файлу
✅Тест
🗣️ Вебинар. Особенности реагирования в Linux-based инфраструктурах
Модуль 3. Блок 1. Windows. Advanced
📄 3.20 Windows Defender
📄 3.21 PowerShell: возможности логирования
📄 3.22 Дополнительные методы анализа журналов безопасности Windows
📄 3.23 Timeline и Supertimeline
Удаление файлов и их восстановление
📄 3.24 Что происходит с файлом после его удаления? Recycle.bin
📄 3.25 Базовые инструменты для восстановления данных
📄 3.26 Следы работы программ затирания данных
Блок 2. Linux
📄 3.27 Основные полезные команды для поиска и анализа файлов и журналов
📄 3.28 Файловые системы: виды, механизмы журналирования и подходы к анализу
📄 3.29 Основные журналы и сведения, содержащиеся в них
⚙️ Практическая работа. Поиск подозрительных событий в журналах Linux
📄 3.30 Артефакты закрепления
⚙️ Практическая работа. Поиск следов закрепления в системе в Linux
Блок 3. MacOs
📄 3.31 Основные журналы MacOS
▶️ Скринкаст
📄 3.32 Артефакты основных стадий атаки на MacOS
✅ Тест
🗣️ Вебинар. Выбор стратегии анализа. Решение гипотетических мини-кейсов, обсуждение вопросов анализа
Отдельные общие методы исследования
📄 3.33 Анализ дампов оперативной памяти. Volatility: как работать, различия в версиях
▶️ Скринкаст
⚙️ Практическая работа. Исследование дампа оперативной памяти машины на ОС Windows
📄 3.34 Выявление признаков вредоносного кода. Malware analysis
📄 3.35 Работа с вредоносными офисными файлами
⚙️ Практическая работа. Исследование вредоносного документа
📄 3.36 Intelligence-driven реагирование на инциденты. Основы атрибуции атакующих и специфика реагирования
⚙️ Практическая работа. Поиск информации по индикатору
✅ Тест
🗣️ Вебинар. Intelligence-Driven Incident Response: Как эффективно применять киберразведданные при реагировании на инциденты
Артефакты получения доступа к системе
📄 3.1 Артефакты работы с email и инструменты их исследования
⚙️ Практическая работа. Анализ артефактов работы с email в Windows
📄 3.2 Артефакты работы с сетью «Интернет» и инструменты их исследования
⚙️ Практическая работа. Поиск подозрительной активности по артефактам браузера
📄 3.3. Артефакты подключения USB-носителей и инструменты их исследования
📄 3.4 Артефакты удалённого подключения и особенности их исследования
⚙️ Практическая работа. Поиск артефактов удалённого подключения на Windows
📄 3.5. Артефакты эксплуатирования уязвимостей публично-доступных серверов
Артефакты запуска
📄 3.6 Prefetch-файлы
⚙️ Практическая работа. Исследование активности в системе по Prefetch-файлам
📄 3.7 Windows Timeline и SRUM
📄 3.8 BAM/DAM, UserAssist и RunMRU
📄 3.9 Amcache и Shimcache
⚙️ Практическая работа. Исследование активности в системе по Amcache и Shimcache
📄 3.10 Shell Items: LNK-файлы, Jump-листы и Shellbags
🗣️ Вебинар. Работа с файловой системой NTFS. Оптимальные методы анализа
Артефакты закрепления в системе
📄 3.11 Артефакты закрепления в системе
⚙️ Практическая работа. Поиск следов закрепления в Windows
Артефакты повышения привилегий и перемещения по внутренней сети
📄 3.12. RDP, WMI
📄 3.13 SMB, UAL, exec-like инструменты
⚙️ Практическая работа. Поиск следов перемещения по внутренней сети Windows
📄 3.14 Аутентификация в Windows: LSASS, NTDS.dit, WDigest
📄 3.15 Основные атаки на протоколы аутентификации Windows
Отдельные системные источники данных
📄 3.16 Теневые копии Windows
📄 3.17 Журналы Windows: агрегация и ключевые артефакты использования пользовательских аккаунтов
⚙️ Практическая работа. Поиск подозрительных событий в журналах Windows
📄 3.18 Работа с файловой системой: файл $MFT, структура MFT-записи
▶️ Скринкаст
📄 3.19 Работа с файловой системой: файлы $LogFile, $UsnJrnl
⚙️ Практическая работа. Восстановление хронологии событий в системе по MFT файлу
✅Тест
🗣️ Вебинар. Особенности реагирования в Linux-based инфраструктурах
Модуль 3. Блок 1. Windows. Advanced
📄 3.20 Windows Defender
📄 3.21 PowerShell: возможности логирования
📄 3.22 Дополнительные методы анализа журналов безопасности Windows
📄 3.23 Timeline и Supertimeline
Удаление файлов и их восстановление
📄 3.24 Что происходит с файлом после его удаления? Recycle.bin
📄 3.25 Базовые инструменты для восстановления данных
📄 3.26 Следы работы программ затирания данных
Блок 2. Linux
📄 3.27 Основные полезные команды для поиска и анализа файлов и журналов
📄 3.28 Файловые системы: виды, механизмы журналирования и подходы к анализу
📄 3.29 Основные журналы и сведения, содержащиеся в них
⚙️ Практическая работа. Поиск подозрительных событий в журналах Linux
📄 3.30 Артефакты закрепления
⚙️ Практическая работа. Поиск следов закрепления в системе в Linux
Блок 3. MacOs
📄 3.31 Основные журналы MacOS
▶️ Скринкаст
📄 3.32 Артефакты основных стадий атаки на MacOS
✅ Тест
🗣️ Вебинар. Выбор стратегии анализа. Решение гипотетических мини-кейсов, обсуждение вопросов анализа
Отдельные общие методы исследования
📄 3.33 Анализ дампов оперативной памяти. Volatility: как работать, различия в версиях
▶️ Скринкаст
⚙️ Практическая работа. Исследование дампа оперативной памяти машины на ОС Windows
📄 3.34 Выявление признаков вредоносного кода. Malware analysis
📄 3.35 Работа с вредоносными офисными файлами
⚙️ Практическая работа. Исследование вредоносного документа
📄 3.36 Intelligence-driven реагирование на инциденты. Основы атрибуции атакующих и специфика реагирования
⚙️ Практическая работа. Поиск информации по индикатору
✅ Тест
🗣️ Вебинар. Intelligence-Driven Incident Response: Как эффективно применять киберразведданные при реагировании на инциденты
📄 4.1 Стратегия и меры
📄 4.2 Документирование расследования и составление отчётов: лучшие практики
📄 4.3. Фреймворки для коллаборации и унификации отчетности при расследовании инцидентов
📄 4.4. Пример отчета
✅ Тест
🗣️ Вебинар. Выбор стратегии реагирования
⚙️ Итоговая работа. Расследование инцидента на Windows с составлением отчёта
⚙️ Итоговая работа. Расследование инцидента на Linux с составлением отчёта
🎁 Toolbox
📄 4.2 Документирование расследования и составление отчётов: лучшие практики
📄 4.3. Фреймворки для коллаборации и унификации отчетности при расследовании инцидентов
📄 4.4. Пример отчета
✅ Тест
🗣️ Вебинар. Выбор стратегии реагирования
⚙️ Итоговая работа. Расследование инцидента на Windows с составлением отчёта
⚙️ Итоговая работа. Расследование инцидента на Linux с составлением отчёта
🎁 Toolbox
Авторы курса
Инженер по информационной безопасности, получила высшее образование в МГТУ им. Баумана по специальности цифровая криминалистика
Опыт в ИБ 5+ лет, работала DFIR-инженером, Threat Hunting и Threat Intelligence специалистом, аналитиком SOC
Была частью как профильных команд ИБ вендоров и MSSP, так и внутренних ИБ-команд крупнейших компаний с широчайшим зоопарком машин и технологий
Выуживала китайские (и не только) APT из сетей как респонзер, отслеживала их активность и инфраструктуру как TI-аналитик
Знает, как работает сфера киберпреступности и как защищаться от атак эффективнее
Больше 10 лет занимается реагированием на инциденты и больше 5 лет киберразведкой
Регулярно выступает на отечественных и зарубежных отраслевых конференциях
Автор и соавтор большого количества исследований, а также книг
Сертификаты
GIAC Certified Forensic Analyst (GCFA)
GIAC Cyber Threat Intelligence (GCTI)
Более 8 лет работает в сфере практической ИБ
Начинала карьерный путь с инженера и аналитика SOC
Сейчас руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз
Сертификаты
GIAC Certified Forensic Analyst (GCFA)
GIAC Advisory Board
GIAC Experienced Forensic Analyst (GX-FA)
В области ИБ более пяти лет, начал свой путь с CTF, в процессе освоил реверс-инжиниринг, форензику, криптографию и т. д
Занимается DFIR и исследованием вредоносных программ, ведёт канал «Threat Hunt»
Публикуется в журнале «Хакер», участвует в Standoff за красную команду
Ключевые навыки
Расследование и реагирование на инциденты
Анализ вредоносного ПО и поиск угроз
Разработка детектирующих правил
Как проходит обучение
Комплексный подход к обучению: от теории к практике
30%
Как
проходит обучение
проходит обучение
70%
Лекции и скринкасты
Вебинары
и воркшопы
с экспертами
и воркшопы
с экспертами
Практические
задания
задания
Практика
на платформе
на платформе
Практикующие эксперты
Нарабатывайте собственный опыт. Наши эксперты не предлагают готовые ответы, а развивают ваше мышление.
Поддержка сообщества
Задавайте вопросы преподавателям, обменивайтесь опытом с одногруппниками и получайте помощь от кураторов.
Гибкий график
Совмещайте учебу с работой, без отрыва от важных задач.
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Что такое DNS?
Не верно
Верно!
Не верно
Не верно
Какой порт стандартно использует SSH?
Не верно
Не верно
Верно!
Не верно
Какой сервис стандартно использует порт 3389?
Не верно
Не верно
Верно!
Не верно
Какие из протоколов имеют отношение к удаленному управлению системой?(Выберите несколько вариантов)
Верно!
Верно!
Не верно
Верно!
Не верно
Не верно
Какой сервис стандартно использует порт 88?
Не верно
Не верно
Верно!
Не верно
Что такое CVE?
Не верно
Верно!
Не верно
Не верно
Что из перечисленного не является средством защиты информации (СЗИ)?
Не верно
Не верно
Не верно
Верно!
Что такое SIEM?
Не верно
Не верно
Верно!
Не верно
Что такое sysmon?
Не верно
Верно!
Не верно
Не верно
Что такое MITRE ATT@CK?
Верно!
Не верно
Не верно
Не верно
Что такое стилер (stealer)?
Не верно
Верно!
Не верно
Не верно
Что такое С2 (С&C)?
Не верно
Верно!
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Что такое DNS?
Не верно
Верно!
Не верно
Не верно
Какой порт стандартно использует SSH?
Не верно
Не верно
Верно!
Не верно
Какой сервис стандартно использует порт 3389?
Не верно
Не верно
Верно!
Не верно
Какие из протоколов имеют отношение к удаленному управлению системой? (Выберите несколько вариантов)
Верно!
Верно!
Не верно
Верно!
Не верно
Не верно
Какой сервис стандартно использует порт 88?
Не верно
Не верно
Верно!
Не верно
Что такое CVE?
Не верно
Верно!
Не верно
Не верно
Что из перечисленного не является средством защиты информации (СЗИ)?
Не верно
Не верно
Не верно
Верно!
Что такое SIEM?
Не верно
Не верно
Верно!
Не верно
Что такое sysmon?
Не верно
Верно!
Не верно
Не верно
Что такое MITRE ATT@CK?
Верно!
Не верно
База знаний о событиях безопасности
Не верно
Что такое стилер (stealer)?
Не верно
Верно!
Не верно
Не верно
Что такое С2 (С&C)?
Не верно
Верно!
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Результаты освоения курса
Вместе с экспертами-практиками во время обучения:
Научитесь снимать образы дисков на различных системах и исследовать их
Узнаете, как создавать дампы оперативной памяти и исследовать их при помощи Volatility
Сможете собирать triage с систем и анализировать его
Поймете, как разворачивать фреймворк Velociraptor и работать в нем
Обучитесь проводить безопасный сбор данных с удаленных систем при помощи RDP, WMI, SSH, PowerShell
Будете собирать и исследовать отдельные виды артефактов Windows, Linux, MacOS
После прохождения курса получаете
Удостоверение о повышении квалификации
Электронный сертификат
Записаться на обучение
Старт:
27 фев. 2026
Идет набор
Длительность:
8 недель
Стоимость курса
102 000 ₽
для юридических лиц
Стоимость со скидкой
78 000 ₽
для физических лиц,
госкомпаний и вузов
госкомпаний и вузов
Рассрочка 0%
на 6 месяцев от INSECA
Не является кредитом. По договору с ООО "Инсека" с поэтапной оплатой.
13 000 ₽/мес.
на 12 месяцев от банка партнера
6 500 ₽/мес.
Яндекс сплит
Не является кредитом. От вас не нужны документы и подписи, достаточно номера телефона — быстро, просто и безопасно
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты