Аналитик SOC
Получите навыки, необходимые для выявления киберугроз и оперативного реагирования на инциденты информационной безопасности
Online
Практический курс по мониторингу и реагированию на инциденты
Старт группы
18 января 2025 года
Длительность
3 месяца/150 ак.ч.
Курс для начинающих специалистов
После успешного прохождения курса выдается удостоверение о повышении квалификации и электронный сертификат
поиска событий и инцидентов ИБ в инфраструктуре, интерпретировать собранные данные, выявлять аномальную активность, атаки, уязвимости
работы с системами класса SIEM
работы с логами с различных средств защиты (Anti-malware, Anti-ddos, WAF, FW/NGFW, IPS/IDS, anti-fishing, EDR, Netflow)
После освоения курса вы приобретёте
построения различных типов запросов в KQL (Kibana Query Language)
понимания принципов работы основных классов СЗИ (FW/NGFW, IPS/IDS, IRP/SOAR, WAF, Anti-malware, Anti-ddos)
идентификации и приоритизации событий и инцидентов ИБ
построения взаимосвязи между событиями ИБ
классификации инцидентов и событий ИБ
реагирования на выявленные инциденты ИБ
современных тактик и техник атакующих, основных векторов атак, способов их обнаружения (OWASP TOP10, CVE, MITRE ATT&CK, Cyber Kill Chain)
сигнатурного и эвристического анализа ВПО
построения Killchain атак (руководствуясь техниками и тактиками матрицы MITRE ATT&CK)
Навыки:
анализа логов журналов ОС (windows events, linux events, sysmon, auditd)
Знания:
подбора мер по реагированию на события ИБ
разработки и внесения исключений в правила корреляции для снижения количества ложных срабатываний
Сертификат INSECA
развития системы мониторинга и СЗИ по результатам реагирования на инциденты ИБ
Технологии и инструменты, которые будете использовать:
SIEM
KQL
IRP/SOAR
VirusTotal
Sandbox
WireShark
Sysmon
Windows Events
Linux Events
AuditD
IDS/IPS
NetFlow
Anti-Malware
Anti-Phishing
WAF
MxToolbox
FW/NGFW
Типы атак, которые рассмотрены в курсе:
  1. PortScan, Anomaly SMBActivity
  2. Эксплуатация уязвимостей EthernalBlue, Log4j, Oracle WebLogic
  3. Продвинутые атаки на Microsoft Active Directory (Kerberosting, NTLM-Relay, SMB-Relay, Pass-the-Hash, Pass-the-ticket, kerberos delegation attacks, Golden/Silver ticket, asreproasting, PetitPotam, DCShadow и DCSync)
  4. Атаки на Web приложения — XSS, XXE, SQL injection, IDOR
  5. Сканирование инфраструктуры
  6. DDos атаки — SynFlood, UDP flood, DNS Amplification
  7. ВПО типа RAT, Ransomware, Backdoor, stealer
  8. Атаки через электронную почту: фишинг, вредоносные URL, рассылки ВПО
  9. Бесфайловые атаки — Meterpreter
  10. DNS-, ICMP- и SSH-туннели для обхода средств защиты
  11. Bruteforce и Password Spraying
  12. Закрепление backdoor в Taskscheduler
  13. Снятие дампа процесса LSASS для получения доступа к аутентификационным данным
  14. Инъекция в рабочий процесс для закрепления в системе без файлов
  15. Атака типа RDE
  16. Горизонтальное перемещение в системе, например psexec
Именно эти типы атак последние 2-3 года являются актуальными векторами злоумышленников для проведения кибератак на инфраструктуру
SOC-лаборатория Inseca
27 из 33 практических работ курса выполняются в SOC-лаборатории Inseca. Каждому студенту предоставляется доступ к личному стенду.

Система реализована на базе ELK, вы будете работать с продуктами (Kibana), которые применяются в рабочих инфраструктурах.
Работа с логами
Для анализа генерируются логи от различных источников ИТ-инфраструктуры в виде нормализованных записей в базе данных:
  • Журналы Windows Linux
  • Журналы AD
  • Сетевые логи FW/NGFW
  • Логи веб-сервера Nginx
  • NetFlow, NTA
  • IDS/IPS
  • WAF
  • Anti-malware
Работа с корреляционными правилами
Доступ к модулю коррелятора позволит использовать собственные правила и выявлять целевые события информационной безопасности.
Кому будет полезно пройти курс
Студентам последних курсов IT/ИБ специальностей, которые хотят начать карьеру в ИБ
Системным администраторам, инженерам сетей, чтобы перейти на должность SOC-аналитика
Аналитикам 1 линии для расширения/систематизации знаний, чтобы перейти на 2 и 3 линию
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Программа повышения квалификации
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс 7-12 часов в неделю.
📄 1.1. Как устроено обучение
📄 1.2. Основные функции SOC
🗣️ Вебинар. Векторы атак на инфраструктуры. Основные тренды за последние 5 лет
📄 1.3. Cyber Kill Chain и MITRE ATT&CK в работе SOC
⚙️ Практическое задание 1. Построение Cyber Kill Chain
📄 1.4. Мониторинг и реагирование на инциденты ИБ
⚙️ Практическое задание 2. Процесс реагирования на инциденты ИБ
📄 1.5. Классификация и приоритет событий ИБ
⚙️ Практическое задание 3. Классификация и приоритет инцидентов ИБ
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Владимир Мельников
Руководитель отдела мониторинга и реагирования
Авторы курса
Более 8 лет практического опыта в ИБ. Разрабатывал правила выявления инцидентов, выстраивал и внедрял процессы реагирования на возникающие угрозы ИБ как документально, так и с использованием инструментов класса IRP/SOAR. С нуля построил и развивал процессы Incident Managment и Incident Response в крупной финансовой организации.

Ключевые навыки
  • DFIR (Digital forensics incidents response)
  • Расследование компьютерных преступлений
  • Cyber Kill chain and MITRE ATT&CK
Виталий Евсиков
Сертификаты
  • MSCA/MSCE
  • ITIL
  • Kaspersky administration
  • Computer crime investigation
Сергей Колосов
Исполнительный директор отдела реагирования на киберугрозы
Более 10 лет практического опыта в ИБ. Прошел путь от инженера L1 до руководителя группы L3. За это время активно занимался реагированием на инциденты КБ, разработкой дежурных процедур, автоматизацией реагирования, разработкой правил корреляции и управлением процессами SOC.

Ключевые навыки
  • SOC
  • SIEM
  • SOAR
  • Incident Response
  • Digital Forensics
  • MITRE ATT&CK
  • Cyber kill-chain
Виталий Евсиков
Сертификаты
  • СEH (EC-Council)
  • CHFI (EC-Council)
  • Penetration Testing, Incident Response and Forensics (IBM, Cybersecurity)
Эксперты курса
Виктор Гордеев
Руководитель центра кибербезопасности
Имеет огромный опыт проектирования высоконагруженных SIEM-инсталляций. Преподавал расширенный курс по ArcSight SIEM. Построил один из лучших промышленных SOCов, который защищает заводы в России, Европе, США, Индии, Турции, Китае.

Ключевые навыки
  • SIEM
  • Security Operations Center
Виталий Евсиков
viktor-gordeev-7785ba12b
Сертификаты
  • OSCP
Решетов Владислав
Lead Presale Engineer
Имеет опыт работы в сфере проектирования и внедрения информационных систем более 10 лет. Разрабатывает индивидуальные решения для корпоративных и государственных заказчиков. На данный момент специализируется на реализации проектов обеспечения информационной безопасности сетевой инфраструктуры.

Ключевые навыки
  • Сетевая безопасность
  • Администрирование СЗИ
  • Архитектура кибербезопасности
Виталий Евсиков
Сертификаты
  • Руководитель цифровой трансформации
Максим Олейник
Менеджер направления аналитики и форензики
5+ лет в ИБ. Начинал с технической защиты информации, на данный момент занимаюсь контентом для SIEM, автоматизацией, участвую в расследовании инцидентов.
Являюсь со-разработчиком лаборатории Inseca для курса SOC

Ключевые навыки
  • Python
  • SOC
  • SIEM
  • Digital Forensics
  • DevOps
Виталий Евсиков
Как проходит курс
В процессе освоения программы вы примерите на себя роль аналитика SOC. Для понимания действий злоумышленников вместе с наставником курса решите задачи, с которыми сталкиваются в реальной жизни ИБ-команды большинства компаний.
Чтобы выполнить задачи и обеспечить безопасность, вам нужно столкнуться с такими форматами:
Лекции и скринкасты
До 50% информации изложено в формате лекций, скринкастов и проверочных заданий— это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.


Онлайн-вебинары с наставниками
Практические онлайн лекции 1 раз в неделю с наставниками:
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.


Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются аналитики SOC каждый день: разбор сложносоставных атак на инфраструктуры банка, реальных фишинговых писем, в которых содержится вредоносное вложение, проведёте ретроспективный поиск IOC в инфраструктуре и др.
Учим мыслить, как аналитик SOC
Даём широкий взгляд на SOC, не концентрируемся на конкретных инструментах или вендорах. Придя работать в компанию вы сможете понять, что от вас требуется.
Доступ к курсу на 6 месяцев
Возвращайтесь к материалам и повторяйте изученное.
Нет битых ссылок
Приводим только актуальные инструменты в качестве примеров.
Вечный доступ в закрытый чат телеграм INSECA CLUB
Обменивайтесь опытом с коллегами и экспертами.
Что ещё важно
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Необходимые знания для освоения программы курса
  • Знание и понимание основ построения сетей;
  • Знание и понимание базовых принципов работы с ОС Windows и ОС Linux;
  • Знание и понимание логирования в ОС Windows и ОС Linux. (Sysmon, windows events, auditD, linux events);
  • Знание и понимания основ ИБ и какие бывают атаки на корпоративные инфраструктуры (Cyber Kill Chain, MITRE ATT&CK, TTP);
  • Знание и понимание работы средств защиты в корпоративных инфраструктурах (такие решения, как SIEM, IRP/SOAR, Anti-malware, Anti-ddos, WAF, FW/NGFW, IPS/IDS, anti-fishing, EDR, netflow analyze and etc.), достаточно знание и понимание хотя бы нескольких СЗИ из перечисленных;
  • Опыт работы с cmd, powershell, sysinternals softs, wireshark, event viewer, tcpdump, WinSCP, putty.
Вступительное тестирование
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Пройти тест
Что такое инкапсуляция трафика?
Не верно
Не верно
Верно!
Не верно
Дальше
Проверить
Узнать результат
Какое значение установлено по умолчанию для MTU для Ethernet?
Не верно
Верно!
Не верно
Не верно
Дальше
Проверить
Узнать результат
На каком уровне модели OSI происходит проверка MAC-адреса?
Верно!
Не верно
Не верно
Не верно
Дальше
Проверить
Узнать результат
Какой тип DNS-запроса должен отправить сервер, чтобы получить IP-адрес почтового сервера?
Не верно
Не верно
Верно!
Не верно
Дальше
Проверить
Узнать результат
Что из перечисленного не является сетевой атакой?
Не верно
Не верно
Верно!
Не верно
Дальше
Проверить
Узнать результат
Какие средства/программы в ОС Windows используются для горизонтального перемещения?
Не верно
Верно!
Не верно
Не верно
Дальше
Проверить
Узнать результат
Как можно обеспечить постоянство в ОС Windows?
Верно
Не верно
Не верно
Не верно
Дальше
Проверить
Узнать результат
Где хранятся данные о посещениях веб-ресурсов в браузере Google Chrome?
Верно!
Не верно
Не верно
Не верно
Дальше
Проверить
Узнать результат
Где хранится основной набор логов в ОС Windows 10?
Не верно
Не верно
Не верно
Верно!
Дальше
Проверить
Узнать результат
Какие ID события свидетельствуют о неуспешной попытке входа на компьютер с ОС Windows 10?
Верно!
Не верно
Не верно
Не верно
Дальше
Проверить
Узнать результат
К какой тактике, описаной в MITRE ATT&CK, относится разведка?
Верно!
Не верно
Не верно
Не верно
Дальше
Проверить
Узнать результат
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
Пройти еще раз
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
Пройти еще раз
Вы новичок в SOC
Вероятно, вы только начали свой путь в мониторинге и реагировании на инциденты. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Пройти еще раз
Вы новичок в SOC
Вероятно, вы только начали свой путь в мониторинге и реагировании на инциденты. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Пройти еще раз
Вы новичок в SOC
Вероятно, вы только начали свой путь в мониторинге и реагировании на инциденты. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Пройти еще раз
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
Пройти еще раз
У нас учатся
О компании
ИНСЕКА – это команда опытных экспертов в сфере информационной безопасности, которым небезразлична судьба отрасли.
Мы знаем, с чем ежедневно приходится сталкиваться специалистам: много рутинной работы, отсутствие автоматизации процессов, несогласованность подразделений, недостаточность финансирования, бюрократия, нет доступа к иностранному ПО, информация быстро устаревает, а искать достоверную и актуальную – долго и сложно.

5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.

Наши эксперты – это “играющие тренеры”. Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное – готовы делиться своим практическим опытом.

Мы с вами на одной стороне!
Внедряем лучший зарубежный опыт и адаптируем его под наши реалии
В команде только практикующие эксперты
Учим тому, что точно пригодится в работе
Объединяем специалистов в ИБ для обмена опытом
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Длительность 3 месяца/150 ак.ч.
Старт 18 января 2025 года

Стоимость курса
94 800 ₽
Рассрочка 0% без переплат
15 800 ₽/месяц
на 6 месяцев
Рассрочка 0% без переплат
7 900 ₽/месяц
на 12 месяцев
для физических лиц
Стоимость курса для юридических лиц по запросу