Практический курс по мониторингу и реагированию на инциденты

📄 1.1. Как устроено обучение
📄 1.2. Основные функции SOC
📄 1.3. Cyber Kill Chain и MITRE ATT&CK в работе SOC
⚙️ Практическое задание 1. Построение Cyber Kill Chain
📄 1.4. Мониторинг и реагирование на инциденты ИБ
⚙️ Практическое задание 2. Процесс реагирования на инциденты ИБ
📄 1.5. Классификация и приоритет событий ИБ
⚙️ Практическое задание 3. Классификация и приоритет инцидентов ИБ
🗣️ Вебинар. Векторы атак на инфраструктуры. Основные тренды за последние 5 лет

📄 2.1. Средства защиты в работе SOC
📄 2.2. Типы логирования на конечных устройствах. Windows
📄 2.3. Типы логирования на конечных устройствах. Linux
📄 2.4. Выявление инцидентов без средств защиты
📄 2.5. SIEM и правила корреляции
⚙️ Практическое задание 4. Разбор события ИБ. Написание корреляционного правила
▶️ Видео. Автоматизация мониторинга и реагирования (IRP/SOAR)
🗣️ Вебинар. ELK. SOC-лаборатория Inseca

📄 3.1. Обзор функций журналов безопасности FW/NGFW
⚙️ Практическое задание 5. Выявление инцидентов на базе журналов безопасности FW/NGFW
📄 3.2. Средства выявления вторжений IDS/IPS
▶️ Видео. Интерфейс IDS/IPS
📄 3.3. Разбор сигнатур для выявления сетевых атак с использованием Wireshark
⚙️ Практическое задание 6. Выявление инцидентов с использованием IDS/IPS
📄 3.4. Обзор функций NTA
▶️ Видео Выявление инцидентов ИБ на базе логов NetFlow
⚙️ Практическое задание 7. Выявление инцидентов с помощью NTA
⚙️ Практическое задание 8. Работа с NetFlow
▶️ Видео. Обзор WAF: как защищаться от атак на приложения
📄 3.5. Типы атак на приложения и разбор примеров атак
⚙️ Практическое задание 9. Выявление инцидентов с помощью WAF
📄 3.6. Типы DDoS-атак и АнтиDDoS-решения
⚙️ Практическое задание 10. Выявление DDoS-атак
⚙️ Практическое задание 11. Реагирование на инцидент, выявленный с помощью FW/NGFW и NTA
⚙️ Практическое задание 12. Реагирование на инцидент, выявленный с помощью IDS/IPS
⚙️ Практическое задание 13. Анализ дампа трафика сетевой атаки
🗣️ Вебинар. Киберучения. Purple team
🗣️ Вебинар. NGFW

📄 4.1. Атаки через электронную почту и методы защиты от них
▶️ Видео. Интерфейс анти-фишинг-решений (Trend Micro IMSVA и Kaspersky KSMG)
📄 4.2. Первичный анализ фишинга и вредоносных рассылок
📄 4.3. Разбор почтовых заголовков
▶️ Видео. Автоматизация анализа почтовых заголовков
⚙️ Практическое задание 14. Разбор фишингового письма с помощью mxtoolbox
Практическое задание 15. Выявление инцидентов на почтовом контуре
📄 4.4. Анализ почтовых сообщений с использованием решений класса Sandbox
📄 4.5. Анализ почтовых логов для выявления инцидентов ИБ
⚙️ Практическое задание №16. Разбор атаки через электронную почту с использованием вредоносного ПО
🗣️ Вебинар. Анализ методов для выявления почтовых атак

📄 5.1. Сигнатурный и эвристический анализ
▶️ Видео. Разбор модулей средств Anti-Malware
📄 5.2. Атаки на инфраструктуру с помощью бесфайлового ВПО
⚙️ Практическое задание 17. Выявление инцидентов с использованием СЗИ класса Anti-Malware
⚙️ Практическое задание 18. Разбор инцидента, связанного с вирусным заражением.
▶️ Видео. Динамический анализ вредоносного ПО с помощью песочниц
📄 5.3. Получение индикаторов компрометации
⚙️ Практическое задание 19. Анализ ВПО с помощью песочницы app.any.run
⚙️ Практическое задание 20. Поиск индикаторов компрометации в инфраструктуре
⚙️ Практическое задание 21. Разбор инцидента, связанного с вирусным заражением типа Stealer
🗣️ Вебинар. Как TI помогает SOC-аналитику при решении задач

📄 6.1. Использование встроенных журналов безопасности ОС Windows
▶️ Видео. Работы с ОС Windows для сбора основных артефактов
▶️ Видео. Средства автоматизации для анализа журналов ОС Windows
📄 6.2. Использование Sysmon для выявления инцидентов ИБ
⚙️ Практическое задание 22. Выявление инцидентов на базе логов журналов Windows
⚙️ Практическое задание 23. Выявление инцидентов на базе журналов Sysmon
⚙️ Практическое задание 24. Сбор артефактов с ОС Windows
📄 6.3. Использование встроенных журналов Linux для выявления инцидентов
📄 6.4. Использование AuditD для выявления инцидентов
⚙️ Практическое задание 25. Выявление инцидентов на базе логов AuditD
⚙️ Практическое задание 26. Реагирование на атаку Scheduled Task, выявленную с помощью логов Sysmon
⚙️ Практическое задание 27. Реагирование на атаку LSASS Memory, выявленную с помощью логов Sysmon
🗣️ Вебинар. Работа с логами ОС для расследования инцидентов

📄 7.1. Методы разведки ОС
📄 7.2. Продвинутые атаки на Microsoft Active Directory
📄 7.3. Захват контроллера домена с помощью атаки PetitPotam
⚙️ Практическое задание 28. Реагирование на атаку типа Network Discovery
⚙️ Практическое задание 29 Реагирование на атаку типа Kerberoasting
📄 7.4. DCShadow- и DCSync-техники атаки на Active Directory
📄 7.5. DNS-, ICMP- и SSH-туннели для обхода средств защиты
⚙️ Практическое задание 30. Реагирование на атаку типа DCSync
⚙️ Практическое задание 31. Реагирование на атаку типа DNS-tunneling
📄 7.6. Актуальные методы повышения привилегий
📄 7.7. Методы закрепления в инфраструктуре
📄 7.8. Методы горизонтального перемещения
⚙️ Практическое задание 32. Реагирование на попытку повышения привилегий
🗣️ Вебинар. Анализ сложносоставных атак на инфраструктуру на примере популярных ИБ-отчётов

Курс подойдет:
- Аналитикам SOC для перехода на 2–3 линию
- Системным администраторам и сетевым инженерам в SOC

Для успешного прохождения курса необходимо знать:
- Основы сетей, ОС Windows/Linux
- Принципы логирования (Windows Events, Sysmon, AuditD)
- Основы ИБ и атак (Cyber Kill Chain, MITRE ATT&CK, TTP)
- Средства защиты (SIEM, EDR, NGFW, WAF) и инструменты (cmd, Wireshark, tcpdump).

В рамках курса вы познакомитесь с инструментами:
- SIEM, ELK, KQL, IRP/SOAR.
- VirusTotal, Sandbox, Wireshark.
- Sysmon, Windows/Linux Events, AuditD.
- FW/NGFW, IDS/IPS, NetFlow, Anti-Malware, WAF, MxToolbox.

Часть работ выполняется локально на хосте. Для выполнения остальных мы разворачиваем индивидуальные стенды с подготовленной инфраструктурой.

Для комфортного обучения рекомендуется:
Процессор: 4 ядра.
ОЗУ: 8 ГБ.
Жесткий диск: 250 ГБ.

Для успешного завершения курса необходимо выполнить 25 из 37 практических работ.

Аналитик SOC обеспечивает постоянный мониторинг и защиту ИТ-инфраструктуры компании от киберугроз.

Аналитики SOC:
- отслеживают события и аномалии в сети в режиме реального времени
- выявляют потенциальные атаки и подозрительную активность
- анализируют логи, уведомления и сигнатуры угроз
- координируют реагирование на инциденты совместно с другими подразделениями
- разрабатывают рекомендации по усилению защиты и предотвращению будущих атак
- поддерживают соответствие стандартам безопасности и внутренним политикам компании, формируя компетенции, которые необходимы руководителю SOC.