Кому подходит курс
Специалистам с опытом в IT/ИБ от 1 года, которые хотят стать аналитиками команды поиска киберугроз
Аналитикам Threat Intelligence
Аналитикам SOC (2-3 линия)
Cпециалистам CIRT
Необходимые знания
Знать основы архитектуры
современных корпоративных инфраструктур
Понимать типовые плейбуки
по расследованию и реагированию в разрезе основных типов инцидентов ИБ системах (ОС, СЗИ, сетевое оборудование, прикладное ПО и т. д.)
Иметь представление об основах ИБ
(в т.ч. Cyber Kill Chain, MITRE ATT&CK, TTP) в части векторов атак и защиты от них
Уметь читать техническую литературу
на английском. Например, такие отчеты
Технологии и инструменты курса
YARA
Suricata
Wireshark
Network Miner
Sysmon
Volatility
Microsoft Compliance Product
THOR Lite
Примеры заданий
Программа курса
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс около 15 часов в неделю.
Теория
Демонстрация
Практика
Тест
Вебинар
Бонус
📄 1.1 Что такое Threat Hunting и почему это важно
📄 1.2 Взаимосвязь с процессом Incident Responce
📄 1.3 Взаимосвязь с процессом Threat Intelligence
📄 1.4 Работа глазами аналитика команды поиска угроз
⚙️ Практическая работа. Анализ отчёта от Positive Technologies
📄 1.2 Взаимосвязь с процессом Incident Responce
📄 1.3 Взаимосвязь с процессом Threat Intelligence
📄 1.4 Работа глазами аналитика команды поиска угроз
⚙️ Практическая работа. Анализ отчёта от Positive Technologies
📄 2.1 Этапы процесса TH
📄 2.2 Уровни зрелости процесса TH
📄 2.3 Методологии TH и формулировки гипотез
📄 2.4 Метрики процесса
📄 2.5 Работа с матрицей ATT&CK
▶️ Скринкаст о навигаторе и покрытие
⚙️ Практическая работа. Формирование слоёв и ландшафта угроз в MITRE ATT&CK Navigator
🗣️ Вебинар. Знакомство. Опыт. Кейсы.
📄 2.2 Уровни зрелости процесса TH
📄 2.3 Методологии TH и формулировки гипотез
📄 2.4 Метрики процесса
📄 2.5 Работа с матрицей ATT&CK
▶️ Скринкаст о навигаторе и покрытие
⚙️ Практическая работа. Формирование слоёв и ландшафта угроз в MITRE ATT&CK Navigator
🗣️ Вебинар. Знакомство. Опыт. Кейсы.
📄 3.1 Pyramid of Pain
📄 3.2 Yara
▶️ Скринкаст про Yara
▶️ Скринкаст Threat Intelligence Platform
⚙️ Практическая работа. Написание Yara-правил вручную и с помощью утилиты yargen
📄 3.3 Sigma
📄 3.4 Эффективное использование TI в TH
📄 3.2 Yara
▶️ Скринкаст про Yara
▶️ Скринкаст Threat Intelligence Platform
⚙️ Практическая работа. Написание Yara-правил вручную и с помощью утилиты yargen
📄 3.3 Sigma
📄 3.4 Эффективное использование TI в TH
📄 4.1 Стек TCP/IP
📄 4.2 Сетевые устройства
📄 4.3 Пакетный анализ и Wireshark
▶️ Скринкаст. Работа в Wireshark
⚙️ Практическая работа. Написание Sigma-правил
📄 4.2 Сетевые устройства
📄 4.3 Пакетный анализ и Wireshark
▶️ Скринкаст. Работа в Wireshark
⚙️ Практическая работа. Написание Sigma-правил
📄 5.1 ARP трафик
📄 5.2 ICMP трафик
📄 5.3 TCP трафик
📄 5.4 DHCP трафик
📄 5.5 DNS трафик
📄 5.6 HTTP & HTTPS трафик
▶️ Скринкаст про сессии в Wireshark
▶️ Скринкаст про Network Miner
⚙️ Практическая работа. Поиск подозрительного трафика с помощью Wireshark и Network Miner
🗣️ Вебинар. Анализ дампа сетевого трафика
📄 5.2 ICMP трафик
📄 5.3 TCP трафик
📄 5.4 DHCP трафик
📄 5.5 DNS трафик
📄 5.6 HTTP & HTTPS трафик
▶️ Скринкаст про сессии в Wireshark
▶️ Скринкаст про Network Miner
⚙️ Практическая работа. Поиск подозрительного трафика с помощью Wireshark и Network Miner
🗣️ Вебинар. Анализ дампа сетевого трафика
📄 6.1 Работа с Suricata
📄 6.2 Подготовка стенда
📄 6.3 Инструментарий по поиску веб-шеллов
▶️ Скринкаст про THOR Lite сканер
⚙️ Практическая работа. Поиск подозрительного трафика и файлов. Написание Suricata-правил
📄 6.2 Подготовка стенда
📄 6.3 Инструментарий по поиску веб-шеллов
▶️ Скринкаст про THOR Lite сканер
⚙️ Практическая работа. Поиск подозрительного трафика и файлов. Написание Suricata-правил
📄 7.1 Классификация ВПО
📄 7.2 Доставка ВПО
📄 7.3 Закрепление на хосте
📄 7.2 Доставка ВПО
📄 7.3 Закрепление на хосте
📄 8.1 Детектирующее ПО
📄 8.2 Детектирующие техники
📄 8.3 Процессы в Windows
📄 8.4 Анализ дампов памяти
📄 8.5 Работа с вредоносными офисными файлами
▶️ Скринкаст по работе с Volatility
✅ Тест на понимание типов и поведения ВПО
💡 Вебинар. Поиск угроз на хостах под управлением Windows
📄 8.2 Детектирующие техники
📄 8.3 Процессы в Windows
📄 8.4 Анализ дампов памяти
📄 8.5 Работа с вредоносными офисными файлами
▶️ Скринкаст по работе с Volatility
✅ Тест на понимание типов и поведения ВПО
💡 Вебинар. Поиск угроз на хостах под управлением Windows
📄 9.1 Навыки: цифровая криминалистика
📄 9.2 Baseline
▶️ Скринкаст по работе с Microsoft Compliance Product
⚙️ Практическая работа. Работа с Microsoft Compliance Product
📄 9.2 Baseline
▶️ Скринкаст по работе с Microsoft Compliance Product
⚙️ Практическая работа. Работа с Microsoft Compliance Product
📄 10.1 Журналы событий Windows
📄 10.2 Идентификаторы событий Windows
📄 10.3 Пересылка событий
📄 10.4 Инструментарий
▶️ Скринкаст по работе с Sysmon
⚙️ Практическая работа. Работа с конфигурационными файлами
💡 Воркшоп. Поиск открытых учётных данных в инфраструктуре сети
⚙️ Практическая работа. Формулировка гипотез для инфраструктуры на основе TI-отчёта
🎁 Toolbox
📄 10.2 Идентификаторы событий Windows
📄 10.3 Пересылка событий
📄 10.4 Инструментарий
▶️ Скринкаст по работе с Sysmon
⚙️ Практическая работа. Работа с конфигурационными файлами
💡 Воркшоп. Поиск открытых учётных данных в инфраструктуре сети
⚙️ Практическая работа. Формулировка гипотез для инфраструктуры на основе TI-отчёта
🎁 Toolbox
Авторы курса
Внедрял SIEM решения в инфраструктуру заказчиков, выстраивал с нуля процессы Incident Response и Threat Hunting в крупных российских компаниях, является участником нескольких масштабных исследований по киберугрозам, нацеленным на РФ и СНГ
Сертификаты
eLearnSecurity Certified Threat Hunting Professional
ATT&CK® Cyber Threat Intelligence Certification
IBM Certified Associate Administrator - IBM QRadar SIEM
Кирилл Митрофанов
Threat Intelligence Team Lead
Опыт, полученный в реальных кейсах и взаимодействие с заказчиками позволяют эффективно работать в роли аналитика Cyber Threat Intelligence
Ключевые навыки
Windows
Threat Intelligence
SOC
Владислав Бурцев
Senior Threat Intelligence analyst
Внедрял SIEM решения в инфраструктуру заказчиков, выстраивал с нуля процессы Incident Response и Threat Hunting в крупных российских компаниях, является участником нескольких масштабных исследований по киберугрозам, нацеленным на РФ и СНГ
Сертификаты
eLearnSecurity Certified Threat Hunting Professional
ATT&CK® Cyber Threat Intelligence Certification
IBM Certified Associate Administrator - IBM QRadar SIEM
Опыт, полученный в реальных кейсах и взаимодействие с заказчиками позволяют эффективно работать в роли аналитика Cyber Threat Intelligence
Ключевые навыки
Windows
Threat Intelligence
SOC
Как проходит обучение
Комплексный подход к обучению: от теории к практике
30%
Как
проходит обучение
проходит обучение
70%
Лекции и скринкасты
Вебинары
и воркшопы
с экспертами
и воркшопы
с экспертами
Практические
задания
задания
Практика
на платформе
на платформе
Практикующие эксперты
Нарабатывайте собственный опыт. Наши эксперты не предлагают готовые ответы, а развивают ваше мышление.
Поддержка сообщества
Задавайте вопросы преподавателям, обменивайтесь опытом с одногруппниками и получайте помощь от кураторов.
Гибкий график
Совмещайте учебу с работой, без отрыва от важных задач.
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Что такое SIEM?
Не верно
Верно!
Не верно
Не верно
Какая из перечисленных ниже систем не является SIEM?
Не верно
Не верно
Верно!
Не верно
Событие успешного входа в систему имеет идентификатор?
Верно!
Не верно
Не верно
Не верно
Перечислите основные способы получения первоначального доступа в инфраструктуру (Выберите несколько вариантов)
Верно!
Верно!
Не верно
Не верно
Знакомы ли вы с матрицей ATT&CK?
Верно!
Не верно
Верно ли что обычно для закрепления на хосте предварительно надо повысить привилегии?
Не верно
Верно!
Stuxnet это:
Верно!
Не верно
Не верно
Не верно
Какое из перечисленного ВПО имеет свойства распространяться внутри сети?
Верно!
Не верно
Не верно
Не верно
При обращении к сайту по протоколу http по какому порту пойдёт трафик по умолчанию?
Не верно
Не верно
Верно!
Не верно
Что не является способом закрепления на хосте?
Не верно
Не верно
Не верно
Верно!
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 12 часов еженедельно, чтобы не отставать от темпа группы.
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 12 часов еженедельно, чтобы не отставать от темпа группы.
Вы новичок в охоте за угрозами
Вероятно, вы только начали свой путь в Threat Hunting. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Вы новичок в охоте за угрозами
Вероятно, вы только начали свой путь в Threat Hunting. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Что такое SIEM?
Не верно
Верно!
Не верно
Не верно
Какая из перечисленных ниже систем не является SIEM?
Не верно
Не верно
Верно!
Не верно
Событие успешного входа в систему имеет идентификатор?
Верно!
Не верно
Не верно
Не верно
Перечислите основные способы получения первоначального доступа в инфраструктуру (Выберите несколько вариантов)
Верно!
Верно!
Не верно
Не верно
Знакомы ли вы с матрицей ATT&CK?
Верно!
Не верно
Верно ли что обычно для закрепления на хосте предварительно надо повысить привилегии?
Не верно
Верно!
Stuxnet это...
Верно!
Не верно
Не верно
Не верно
Какое из перечисленного ВПО имеет свойства распространяться внутри сети?
Верно!
Не верно
Не верно
Не верно
При обращении к сайту по протоколу http по какому порту пойдёт трафик по умолчанию?
Не верно
Не верно
Верно!
Не верно
Что не является способом закрепления на хосте?
Не верно
Не верно
Не верно
Верно!
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 12 часов еженедельно, чтобы не отставать от темпа группы.
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 12 часов еженедельно, чтобы не отставать от темпа группы.
Вы новичок в охоте за угрозами
Вероятно, вы только начали свой путь в Threat Hunting. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Вы новичок в охоте за угрозами
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
Результаты освоения курса
Вместе с экспертами-практиками во время обучения:
Научитесь выявлять аномалии на хосте и в сетевом трафике, которые не были задетектированы стандартными средствами защиты
Узнаете, как формулировать и проверять гипотезы о киберугрозах
Сможете отличать аномалии от легитимного поведения
Будете понимать мышление злоумышленника
После прохождения курса получаете
Удостоверение о повышении квалификации
Электронный сертификат
Записаться на обучение
Старт:
20 марта 2026
Идет набор
Длительность:
5 недель
Стоимость курса
102 000 ₽
для юридических лиц
Стоимость со скидкой
78 000 ₽
для физических лиц,
госкомпаний и вузов
госкомпаний и вузов
Рассрочка 0%
на 6 месяцев от INSECA
Не является кредитом. По договору с ООО "Инсека" с поэтапной оплатой.
13 000 ₽/мес.
на 12 месяцев от банка партнера
6 500 ₽/мес.
Яндекс сплит
Не является кредитом. От вас не нужны документы и подписи, достаточно номера телефона — быстро, просто и безопасно
Платформа по обучению и тренировке навыков специалистов по кибербезопасности «INSECA» inseca.io
© 2025 ООО «Инсека»
При поддержке
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты