Кому подходит курс
Аналитикам 1 линии для расширения, систематизации знаний, чтобы перейти на 2 и 3 линию
Системным администраторам, инженерам сетей, чтобы перейти на должность SOC-аналитика
Студентам последних курсов IT/ИБ специальностей, которые хотят начать карьеру в ИБ
Необходимые знания
Знать и понимать основы
построения сетей и принципов работы с ОС Windows и ОС Linux
Понимать принципы логировать в ОС
windows events, linux events, Sysmon, auditD
Понимать основы ИБ и атаки на корпоративные инфраструктуры
Cyber Kill Chain, MITRE ATT&CK, TTP
Знать средства защиты в корпоративных инфраструктурах
SIEM, IRP/SOAR, Anti-malware, Anti-ddos, WAF, FW/NGFW, IPS/IDS, anti-fishing, EDR, netflow analyze and etc. (понимание хотя бы нескольких СЗИ)
Иметь опыт работы
с cmd, powershell, sysinternals softs, wireshark, event viewer, tcpdump, WinSCP, putty
Технологии и инструменты курса
SIEM
ELK
KQL
IRP/SOAR
VirusTotal
Sandbox
WireShark
Sysmon
Windows Events
Linux Events
AuditD
FW/NGFW
IDS/IPS
NetFlow
Anti-Malware
Anti-Phishing
WAF
MxToolbox
Практические задания
Программа курса
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс около 15 часов в неделю.
Теория
Демонстрация
Практика
Тест
Вебинар
📄 1.1. Как устроено обучение
📄 1.2. Основные функции SOC
📄 1.3. Cyber Kill Chain и MITRE ATT&CK в работе SOC
⚙️ Практическое задание 1. Построение Cyber Kill Chain
📄 1.4. Мониторинг и реагирование на инциденты ИБ
⚙️ Практическое задание 2. Процесс реагирования на инциденты ИБ
📄 1.5. Классификация и приоритет событий ИБ
⚙️ Практическое задание 3. Классификация и приоритет инцидентов ИБ
🗣️ Вебинар. Векторы атак на инфраструктуры. Основные тренды за последние 5 лет
📄 1.2. Основные функции SOC
📄 1.3. Cyber Kill Chain и MITRE ATT&CK в работе SOC
⚙️ Практическое задание 1. Построение Cyber Kill Chain
📄 1.4. Мониторинг и реагирование на инциденты ИБ
⚙️ Практическое задание 2. Процесс реагирования на инциденты ИБ
📄 1.5. Классификация и приоритет событий ИБ
⚙️ Практическое задание 3. Классификация и приоритет инцидентов ИБ
🗣️ Вебинар. Векторы атак на инфраструктуры. Основные тренды за последние 5 лет
📄 2.1. Средства защиты в работе SOC
📄 2.2. Типы логирования на конечных устройствах. Windows
📄 2.3. Типы логирования на конечных устройствах. Linux
📄 2.4. Выявление инцидентов без средств защиты
📄 2.5. SIEM и правила корреляции
⚙️ Практическое задание 4. Разбор события ИБ. Написание корреляционного правила
▶️ Видео. Автоматизация мониторинга и реагирования (IRP/SOAR)
🗣️ Вебинар. ELK. SOC-лаборатория Inseca
📄 2.2. Типы логирования на конечных устройствах. Windows
📄 2.3. Типы логирования на конечных устройствах. Linux
📄 2.4. Выявление инцидентов без средств защиты
📄 2.5. SIEM и правила корреляции
⚙️ Практическое задание 4. Разбор события ИБ. Написание корреляционного правила
▶️ Видео. Автоматизация мониторинга и реагирования (IRP/SOAR)
🗣️ Вебинар. ELK. SOC-лаборатория Inseca
📄 3.1. Обзор функций журналов безопасности FW/NGFW
⚙️ Практическое задание 5. Выявление инцидентов на базе журналов безопасности FW/NGFW
📄 3.2. Средства выявления вторжений IDS/IPS
▶️ Видео. Интерфейс IDS/IPS
📄 3.3. Разбор сигнатур для выявления сетевых атак с использованием Wireshark
⚙️ Практическое задание 6. Выявление инцидентов с использованием IDS/IPS
📄 3.4. Обзор функций NTA
▶️ Видео Выявление инцидентов ИБ на базе логов NetFlow
⚙️ Практическое задание 7. Выявление инцидентов с помощью NTA
⚙️ Практическое задание 8. Работа с NetFlow
▶️ Видео. Обзор WAF: как защищаться от атак на приложения
📄 3.5. Типы атак на приложения и разбор примеров атак
⚙️ Практическое задание 9. Выявление инцидентов с помощью WAF
📄 3.6. Типы DDoS-атак и АнтиDDoS-решения
⚙️ Практическое задание 10. Выявление DDoS-атак
⚙️ Практическое задание 11. Реагирование на инцидент, выявленный с помощью FW/NGFW и NTA
⚙️ Практическое задание 12. Реагирование на инцидент, выявленный с помощью IDS/IPS
⚙️ Практическое задание 13. Анализ дампа трафика сетевой атаки
🗣️ Вебинар. Киберучения. Purple team
🗣️ Вебинар. NGFW
📄 4.1. Атаки через электронную почту и методы защиты от них
▶️ Видео. Интерфейс анти-фишинг-решений (Trend Micro IMSVA и Kaspersky KSMG)
📄 4.2. Первичный анализ фишинга и вредоносных рассылок
📄 4.3. Разбор почтовых заголовков
▶️ Видео. Автоматизация анализа почтовых заголовков
⚙️ Практическое задание 14. Разбор фишингового письма с помощью mxtoolbox
Практическое задание 15. Выявление инцидентов на почтовом контуре
📄 4.4. Анализ почтовых сообщений с использованием решений класса Sandbox
📄 4.5. Анализ почтовых логов для выявления инцидентов ИБ
⚙️ Практическое задание №16. Разбор атаки через электронную почту с использованием вредоносного ПО
🗣️ Вебинар. Анализ методов для выявления почтовых атак
▶️ Видео. Интерфейс анти-фишинг-решений (Trend Micro IMSVA и Kaspersky KSMG)
📄 4.2. Первичный анализ фишинга и вредоносных рассылок
📄 4.3. Разбор почтовых заголовков
▶️ Видео. Автоматизация анализа почтовых заголовков
⚙️ Практическое задание 14. Разбор фишингового письма с помощью mxtoolbox
Практическое задание 15. Выявление инцидентов на почтовом контуре
📄 4.4. Анализ почтовых сообщений с использованием решений класса Sandbox
📄 4.5. Анализ почтовых логов для выявления инцидентов ИБ
⚙️ Практическое задание №16. Разбор атаки через электронную почту с использованием вредоносного ПО
🗣️ Вебинар. Анализ методов для выявления почтовых атак
📄 5.1. Сигнатурный и эвристический анализ
▶️ Видео. Разбор модулей средств Anti-Malware
📄 5.2. Атаки на инфраструктуру с помощью бесфайлового ВПО
⚙️ Практическое задание 17. Выявление инцидентов с использованием СЗИ класса Anti-Malware
⚙️ Практическое задание 18. Разбор инцидента, связанного с вирусным заражением.
▶️ Видео. Динамический анализ вредоносного ПО с помощью песочниц
📄 5.3. Получение индикаторов компрометации
⚙️ Практическое задание 19. Анализ ВПО с помощью песочницы app.any.run
⚙️ Практическое задание 20. Поиск индикаторов компрометации в инфраструктуре
⚙️ Практическое задание 21. Разбор инцидента, связанного с вирусным заражением типа Stealer
🗣️ Вебинар. Как TI помогает SOC-аналитику при решении задач
▶️ Видео. Разбор модулей средств Anti-Malware
📄 5.2. Атаки на инфраструктуру с помощью бесфайлового ВПО
⚙️ Практическое задание 17. Выявление инцидентов с использованием СЗИ класса Anti-Malware
⚙️ Практическое задание 18. Разбор инцидента, связанного с вирусным заражением.
▶️ Видео. Динамический анализ вредоносного ПО с помощью песочниц
📄 5.3. Получение индикаторов компрометации
⚙️ Практическое задание 19. Анализ ВПО с помощью песочницы app.any.run
⚙️ Практическое задание 20. Поиск индикаторов компрометации в инфраструктуре
⚙️ Практическое задание 21. Разбор инцидента, связанного с вирусным заражением типа Stealer
🗣️ Вебинар. Как TI помогает SOC-аналитику при решении задач
📄 6.1. Использование встроенных журналов безопасности ОС Windows
▶️ Видео. Работы с ОС Windows для сбора основных артефактов
▶️ Видео. Средства автоматизации для анализа журналов ОС Windows
📄 6.2. Использование Sysmon для выявления инцидентов ИБ
⚙️ Практическое задание 22. Выявление инцидентов на базе логов журналов Windows
⚙️ Практическое задание 23. Выявление инцидентов на базе журналов Sysmon
⚙️ Практическое задание 24. Сбор артефактов с ОС Windows
📄 6.3. Использование встроенных журналов Linux для выявления инцидентов
📄 6.4. Использование AuditD для выявления инцидентов
⚙️ Практическое задание 25. Выявление инцидентов на базе логов AuditD
⚙️ Практическое задание 26. Реагирование на атаку Scheduled Task, выявленную с помощью логов Sysmon
⚙️ Практическое задание 27. Реагирование на атаку LSASS Memory, выявленную с помощью логов Sysmon
🗣️ Вебинар. Работа с логами ОС для расследования инцидентов
▶️ Видео. Работы с ОС Windows для сбора основных артефактов
▶️ Видео. Средства автоматизации для анализа журналов ОС Windows
📄 6.2. Использование Sysmon для выявления инцидентов ИБ
⚙️ Практическое задание 22. Выявление инцидентов на базе логов журналов Windows
⚙️ Практическое задание 23. Выявление инцидентов на базе журналов Sysmon
⚙️ Практическое задание 24. Сбор артефактов с ОС Windows
📄 6.3. Использование встроенных журналов Linux для выявления инцидентов
📄 6.4. Использование AuditD для выявления инцидентов
⚙️ Практическое задание 25. Выявление инцидентов на базе логов AuditD
⚙️ Практическое задание 26. Реагирование на атаку Scheduled Task, выявленную с помощью логов Sysmon
⚙️ Практическое задание 27. Реагирование на атаку LSASS Memory, выявленную с помощью логов Sysmon
🗣️ Вебинар. Работа с логами ОС для расследования инцидентов
📄 7.1. Методы разведки ОС
📄 7.2. Продвинутые атаки на Microsoft Active Directory
📄 7.3. Захват контроллера домена с помощью атаки PetitPotam
⚙️ Практическое задание 28. Реагирование на атаку типа Network Discovery
⚙️ Практическое задание 29 Реагирование на атаку типа Kerberoasting
📄 7.4. DCShadow- и DCSync-техники атаки на Active Directory
📄 7.5. DNS-, ICMP- и SSH-туннели для обхода средств защиты
⚙️ Практическое задание 30. Реагирование на атаку типа DCSync
⚙️ Практическое задание 31. Реагирование на атаку типа DNS-tunneling
📄 7.6. Актуальные методы повышения привилегий
📄 7.7. Методы закрепления в инфраструктуре
📄 7.8. Методы горизонтального перемещения
⚙️ Практическое задание 32. Реагирование на попытку повышения привилегий
🗣️ Вебинар. Анализ сложносоставных атак на инфраструктуру на примере популярных ИБ-отчётов
📄 7.2. Продвинутые атаки на Microsoft Active Directory
📄 7.3. Захват контроллера домена с помощью атаки PetitPotam
⚙️ Практическое задание 28. Реагирование на атаку типа Network Discovery
⚙️ Практическое задание 29 Реагирование на атаку типа Kerberoasting
📄 7.4. DCShadow- и DCSync-техники атаки на Active Directory
📄 7.5. DNS-, ICMP- и SSH-туннели для обхода средств защиты
⚙️ Практическое задание 30. Реагирование на атаку типа DCSync
⚙️ Практическое задание 31. Реагирование на атаку типа DNS-tunneling
📄 7.6. Актуальные методы повышения привилегий
📄 7.7. Методы закрепления в инфраструктуре
📄 7.8. Методы горизонтального перемещения
⚙️ Практическое задание 32. Реагирование на попытку повышения привилегий
🗣️ Вебинар. Анализ сложносоставных атак на инфраструктуру на примере популярных ИБ-отчётов
Авторы курса
Владимир Мельников
Руководитель центра мониторинга и реагирования
Более 10 лет практического опыта в ИБ
Разрабатывал правила выявления инцидентов, выстраивал и внедрял процессы реагирования на возникающие угрозы ИБ как документально, так и с использованием инструментов класса IRP/SOAR
С нуля построил и развивал процессы Incident Managment и Incident Response в крупной финансовой и телеком компании
Сертификаты
MSCA/MSCE
ITIL
Kaspersky administration
Computer crime investigation
Более 10 лет практического опыта в ИБ
Прошел путь от инженера L1 до руководителя группы L3
За это время активно занимался реагированием на инциденты КБ, разработкой дежурных процедур, автоматизацией реагирования, разработкой правил корреляции и управлением процессами SOC
Сертификаты
СEH (EC-Council)
CHFI (EC-Council)
Penetration Testing, Incident Response and Forensics (IBM, Cybersecurity)
Имеет огромный опыт проектирования высоконагруженных SIEM-инсталляций
Преподавал расширенный курс по ArcSight SIEM
Построил один из лучших промышленных SOCов, который защищает заводы в России, Европе, США, Индии, Турции, Китае
Сертификаты
OSCP
Ключевые навыки
SIEM
Security Operations Center
Более 30 лет опыта практической защиты крупных компаний и более 20 лет опыта выступлений
Сейчас занимается разработкой продуктов по информационной безопасности для российского рынка
Автор телеграм канала "Топ кибербезопасности"
Сертификаты
CISSP
GCIH
MVP
PCNSE
5+ лет в ИБ
Начинал с технической защиты информации, на данный момент занимается контентом для SIEM, автоматизацией, участвует в расследовании инцидентов
Является со-разработчиком лаборатории Inseca для курса SOC
Ключевые навыки
Python
SOC
SIEM
Digital Forensics
DevOps
За время работы в сфере ИБ успел себя попробовать в ролях аналитика TH, TI, специалиста по цифровой криминалистике и аналитика 3 линии SOC
Внедрял NTA-решения в организацию. Выстраивал процессы цифровой криминалистики, мониторинга и реагирования
Сертификаты
Cisco CCNA CyberOps
Как проходит обучение
Комплексный подход к обучению: от теории к практике
30%
Как
проходит обучение
проходит обучение
70%
Лекции и скринкасты
Вебинары
и воркшопы
с экспертами
и воркшопы
с экспертами
Практические
задания
задания
Практика
на платформе
на платформе
Практикующие эксперты
Нарабатывайте собственный опыт. Наши эксперты не предлагают готовые ответы, а развивают ваше мышление.
Поддержка сообщества
Задавайте вопросы преподавателям, обменивайтесь опытом с одногруппниками и получайте помощь от кураторов.
Гибкий график
Совмещайте учебу с работой, без отрыва от важных задач.
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Что такое инкапсуляция трафика?
Не верно
Не верно
Верно!
Не верно
Какое значение установлено по умолчанию для MTU для Ethernet?
Не верно
Верно!
Не верно
Не верно
На каком уровне модели OSI происходит проверка MAC-адреса?
Верно!
Не верно
Не верно
Не верно
Какой тип DNS-запроса должен отправить сервер, чтобы получить имя почтового сервера?
Не верно
Не верно
Верно!
Не верно
Что из перечисленного не является сетевой атакой?
Не верно
Не верно
Верно!
Не верно
Какие средства/программы в ОС Windows используются для горизонтального перемещения?
Не верно
Верно!
Не верно
Не верно
Как можно обеспечить постоянство в ОС Windows?
Верно!
Не верно
Не верно
Не верно
Где хранятся данные о посещениях веб-ресурсов в браузере Google Chrome?
Верно!
Не верно
Не верно
Не верно
Где хранится основной набор логов в ОС Windows 10?
Не верно
Не верно
Не верно
Верно!
Какие ID события свидетельствуют о неуспешной попытке входа на компьютер с ОС Windows 10?
Верно!
Не верно
Не верно
Не верно
К какой тактике, описаной в MITRE ATT&CK, относится разведка?
Верно!
Не верно
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Что такое инкапсуляция трафика?
Не верно
Не верно
Верно!
Не верно
Какое значение установлено по умолчанию для MTU для Ethernet?
Не верно
Верно!
Не верно
Не верно
На каком уровне модели OSI происходит проверка MAC-адреса?
Верно!
Не верно
Не верно
Не верно
Какой тип DNS-запроса должен отправить сервер, чтобы получить имя почтового сервера?
Не верно
Не верно
Верно!
Не верно
Что из перечисленного не является сетевой атакой?
Не верно
Не верно
Верно!
Не верно
Какие средства/программы в ОС Windows используются для горизонтального перемещения?
Не верно
Верно!
Не верно
Не верно
Как можно обеспечить постоянство в ОС Windows?
Верно!
Не верно
Не верно
Не верно
Где хранятся данные о посещениях веб-ресурсов в браузере Google Chrome?
Верно!
Не верно
Не верно
Не верно
Где хранится основной набор логов в ОС Windows 10?
Не верно
Не верно
Не верно
Верно!
Какие ID события свидетельствуют о неуспешной попытке входа на компьютер с ОС Windows 10?
Верно!
Не верно
Не верно
Не верно
К какой тактике, описаной в MITRE ATT&CK, относится разведка?
Верно!
Не верно
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Результаты освоения курса
Вместе с экспертами-практиками во время обучения:
Научитесь находить события и инциденты ИБ в инфраструктуре, интерпретировать собранные данные, выявлять аномальную активность, атаки, уязвимости
Узнаете, как работать с логами с различных средств защиты (Anti-malware, Anti-ddos, WAF, FW/NGFW, IPS/IDS, anti-fishing, EDR, Netflow)
Сможете анализировать логи журналов ОС (windows events, linux events, sysmon, auditd)
Поймете принципы работы основных классов СЗИ (FW/NGFW, IPS/IDS, IRP/SOAR, WAF, Anti-malware, Anti-ddos), классификации инцидентов и событий ИБ
Познакомитесь со современными тактиками и техниками атакующих, основными векторами атак, способами их обнаружения (OWASP TOP10, CVE, MITRE ATT&CK, Cyber Kill Chain)
Научитесь работать с системами класса SIEM и строить различные типы запросов в KQL (Kibana Query Language)
После прохождения курса получаете
Удостоверение о повышении квалификации
Электронный сертификат
Записаться на обучение
Старт:
13 фев. 2026
Идет набор
Длительность:
3 месяца
Стоимость курса
136 000 ₽
для юридических лиц
Стоимость со скидкой
105 000 ₽
для физических лиц,
госкомпаний и вузов
госкомпаний и вузов
Рассрочка 0%
на 6 месяцев от INSECA
Не является кредитом. По договору с ООО "Инсека" с поэтапной оплатой.
17 500 ₽/мес.
на 12 месяцев от банка партнера
8 750 ₽/мес.
Яндекс сплит
Не является кредитом. От вас не нужны документы и подписи, достаточно номера телефона — быстро, просто и безопасно
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты