Личный кабинет
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Заказать звонок
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Threat Hunting
Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки
Online
Практический курс по поиску киберугроз
Старт группы — 8 ноября
Длительность — 5 недель
После успешного прохождения курса выдается удостоверение о повышении квалификации и электронный сертификат
выявлять аномалии на хосте и в сетевом трафике, которые не были задетектированы стандартными средствами защиты;
формулировать и проверять гипотезы о киберугрозах.
понимать мышление злоумышленника;
отличать аномалии от легитимного поведения;
После освоения курса вы научитесь:
YARA
Suricata
Wireshark
Network Miner
Sysmon
Volatility
Microsoft Compliance Product
THOR Lite
*большинство инструментов, рассмотренных в курсе одинаково хорошо работают и на Windows, и на Linux
Технологии и инструменты, которые будете использовать:
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
30
часов практики с наставником
30
часов теории
Упражнения курса воссоздают жизненный цикл TH, этапы которого проходит на практике каждый аналитик киберугроз
обновили материалы в январе 2025 года, чтобы вы были в курсе самых последних киберугроз и атак, а также методов обеспечения безопасности
*
Кому будет полезно пройти курс
Специалистам с опытом в IT/ИБ от 1 года, которые хотят стать аналитиками команды поиска киберугроз
Аналитикам Threat Intelligence
Аналитикам SOC (2-3 линия)
Cпециалистам CIRT
Программа повышения квалификации
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс 8−12 часов в неделю.
📄 1.1 Что такое Threat Hunting и почему это важно
📄 1.2 Взаимосвязь с процессом Incident Responce
📄 1.3 Взаимосвязь с процессом Threat Intelligence
📄 1.4 Работа глазами аналитика команды поиска угроз
⚙️ Практическая работа. Анализ отчёта от Positive Technologies
📄 1.2 Взаимосвязь с процессом Incident Responce
📄 1.3 Взаимосвязь с процессом Threat Intelligence
📄 1.4 Работа глазами аналитика команды поиска угроз
⚙️ Практическая работа. Анализ отчёта от Positive Technologies
📄 2.1 Этапы процесса TH
📄 2.2 Уровни зрелости процесса TH
📄 2.3 Методологии TH и формулировки гипотез
📄 2.4 Метрики процесса
📄 2.5 Работа с матрицей ATT&CK
▶️ Скринкаст о навигаторе и покрытие
⚙️ Практическая работа. Формирование слоёв и ландшафта угроз в MITRE ATT&CK Navigator
🗣️ Вебинар. Знакомство. Опыт. Кейсы.
📄 2.2 Уровни зрелости процесса TH
📄 2.3 Методологии TH и формулировки гипотез
📄 2.4 Метрики процесса
📄 2.5 Работа с матрицей ATT&CK
▶️ Скринкаст о навигаторе и покрытие
⚙️ Практическая работа. Формирование слоёв и ландшафта угроз в MITRE ATT&CK Navigator
🗣️ Вебинар. Знакомство. Опыт. Кейсы.
📄 3.1 Pyramid of Pain
📄 3.2 Yara
▶️ Скринкаст про Yara
▶️ Скринкаст Threat Intelligence Platform
⚙️ Практическая работа. Написание Yara-правил вручную и с помощью утилиты yargen
📄 3.3 Sigma
📄 3.4 Эффективное использование TI в TH
📄 3.2 Yara
▶️ Скринкаст про Yara
▶️ Скринкаст Threat Intelligence Platform
⚙️ Практическая работа. Написание Yara-правил вручную и с помощью утилиты yargen
📄 3.3 Sigma
📄 3.4 Эффективное использование TI в TH
📄 4.1 Стек TCP/IP
📄 4.2 Сетевые устройства
📄 4.3 Пакетный анализ и Wireshark
▶️ Скринкаст. Работа в Wireshark
⚙️ Практическая работа. Написание Sigma-правил
📄 4.2 Сетевые устройства
📄 4.3 Пакетный анализ и Wireshark
▶️ Скринкаст. Работа в Wireshark
⚙️ Практическая работа. Написание Sigma-правил
📄 5.1 ARP трафик
📄 5.2 ICMP трафик
📄 5.3 TCP трафик
📄 5.4 DHCP трафик
📄 5.5 DNS трафик
📄 5.6 HTTP & HTTPS трафик
▶️ Скринкаст про сессии в Wireshark
▶️ Скринкаст про Network Miner
⚙️ Практическая работа. Поиск подозрительного трафика с помощью Wireshark и Network Miner
🗣️ Вебинар. Анализ дампа сетевого трафика
📄 5.2 ICMP трафик
📄 5.3 TCP трафик
📄 5.4 DHCP трафик
📄 5.5 DNS трафик
📄 5.6 HTTP & HTTPS трафик
▶️ Скринкаст про сессии в Wireshark
▶️ Скринкаст про Network Miner
⚙️ Практическая работа. Поиск подозрительного трафика с помощью Wireshark и Network Miner
🗣️ Вебинар. Анализ дампа сетевого трафика
📄 6.1 Работа с Suricata
📄 6.2 Подготовка стенда
📄 6.3 Инструментарий по поиску веб-шеллов
▶️ Скринкаст про THOR Lite сканер
⚙️ Практическая работа. Поиск подозрительного трафика и файлов. Написание Suricata-правил
📄 6.2 Подготовка стенда
📄 6.3 Инструментарий по поиску веб-шеллов
▶️ Скринкаст про THOR Lite сканер
⚙️ Практическая работа. Поиск подозрительного трафика и файлов. Написание Suricata-правил
📄 7.1 Классификация ВПО
📄 7.2 Доставка ВПО
📄 7.3 Закрепление на хосте
📄 7.2 Доставка ВПО
📄 7.3 Закрепление на хосте
📄 8.1 Детектирующее ПО
📄 8.2 Детектирующие техники
📄 8.3 Процессы в Windows
📄 8.4 Анализ дампов памяти
📄 8.5 Работа с вредоносными офисными файлами
▶️ Скринкаст по работе с Volatility
✅ Тест на понимание типов и поведения ВПО
💡 Вебинар. Поиск угроз на хостах под управлением Windows
📄 8.2 Детектирующие техники
📄 8.3 Процессы в Windows
📄 8.4 Анализ дампов памяти
📄 8.5 Работа с вредоносными офисными файлами
▶️ Скринкаст по работе с Volatility
✅ Тест на понимание типов и поведения ВПО
💡 Вебинар. Поиск угроз на хостах под управлением Windows
📄 9.1 Навыки: цифровая криминалистика
📄 9.2 Baseline
▶️ Скринкаст по работе с Microsoft Compliance Product
⚙️ Практическая работа. Работа с Microsoft Compliance Product
📄 9.2 Baseline
▶️ Скринкаст по работе с Microsoft Compliance Product
⚙️ Практическая работа. Работа с Microsoft Compliance Product
📄 10.1 Журналы событий Windows
📄 10.2 Идентификаторы событий Windows
📄 10.3 Пересылка событий
📄 10.4 Инструментарий
▶️ Скринкаст по работе с Sysmon
⚙️ Практическая работа. Работа с конфигурационными файлами
💡 Воркшоп. Поиск открытых учётных данных в инфраструктуре сети
⚙️ Практическая работа. Формулировка гипотез для инфраструктуры на основе TI-отчёта
🎁 Toolbox
📄 10.2 Идентификаторы событий Windows
📄 10.3 Пересылка событий
📄 10.4 Инструментарий
▶️ Скринкаст по работе с Sysmon
⚙️ Практическая работа. Работа с конфигурационными файлами
💡 Воркшоп. Поиск открытых учётных данных в инфраструктуре сети
⚙️ Практическая работа. Формулировка гипотез для инфраструктуры на основе TI-отчёта
🎁 Toolbox
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Кирилл Митрофанов
Автор курса
Прошёл путь от специалиста технической поддержки до руководителя группы исследования киберугроз. Внедрял SIEM решения в инфраструктуру заказчиков, выстраивал с нуля процессы Incident Response и Threat Hunting в крупных российских компаниях. Любит исследовать, разбираться, копаться в деталях, новые идеи и конструктив.
Сертификаты
- eLearnSecurity Certified Threat Hunting Professional
- ATT&CK® Cyber Threat Intelligence Certification
- ATT&CK® Security Operations Center Assessments Certification
- IBM Certified Associate Administrator - IBM QRadar SIEM
Ключевые навыки
- Threat Intelligence
- Threat Hunting
- SOC Analyst
kirill-mitrofanov
Эксперт курса
Владислав Бурцев
Senior Threat Intelligence analyst
Senior Threat Intelligence analyst
Опыт, полученный в реальных кейсах и взаимодействие с заказчиками позволяют эффективно работать в роли аналитика Cyber Threat Intelligence.
Ключевые навыки
Ключевые навыки
- Windows
- Threat Intelligence
- SOC
vladislav-burtsev
Как проходит курс
В процессе освоения программы вы примерите на себя роль аналитика команды поиска киберугроз. Вместе с наставником курса решите задачи, с которыми сталкиваются в реальной жизни ИБ-команды большинства компаний. Вы сможете на практике пройти весь жизненный цикл TH.
Чтобы выполнить задачи и обеспечить безопасность, вам нужно столкнуться с такими форматами:
Лекции и скринкасты
30 часов информации изложено в формате лекций и скринкастов— это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются аналитики команды поиска угроз каждый день: от создания ландшафта угроз и работы с индикаторами компрометации, до формулировки и проверки гипотез, включая реальные кейсы компаний. При решении задач обучающиеся используют реальные инструменты и платформы анализа данных.
30 часов информации изложено в формате лекций и скринкастов— это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются аналитики команды поиска угроз каждый день: от создания ландшафта угроз и работы с индикаторами компрометации, до формулировки и проверки гипотез, включая реальные кейсы компаний. При решении задач обучающиеся используют реальные инструменты и платформы анализа данных.
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Что ещё важно
-
Учим мыслить, как охотник за угрозами
Даём широкий взгляд на TH, не концентрируемся на конкретных инструментах или вендорах. Придя работать в компанию вы сможете понять, что от вас требуется. - Нет битых ссылок
Приводим только актуальные инструменты в качестве примеров. - Доступ к курсу на 6 месяцев
Возвращайтесь к материалам и повторяйте изученное. - Вечный доступ в закрытый чат телеграм INSECA CLUB
Обменивайтесь опытом с коллегами и экспертами.
Необходимые знания для освоения программы курса
- Понимать основы архитектуры современных корпоративных инфраструктур
- Понимать основы ИБ (в т.ч. Cyber Kill Chain, MITRE ATT&CK, TTP) в части векторов атак и защиты от них
- Понимать типовые плейбуки по расследованию и реагированию в разрезе основных типов инцидентов ИБ системах (ОС, СЗИ, сетевое оборудование, прикладное ПО и т. д.)
- Уметь читать техническую литературу на английском. Например, такие отчеты.
Технические рекомендации для прохождения курса
- Процессор: 4-ядерный;
- ОЗУ: 8 Гб;
- Жёсткий диск: 250 Гб;
- Доступ в интернет;
- Операционная система Windows.
Программное обеспечение, которое потребуется для выполнения заданий, вы установите прямо во время обучения по нашим инструкциям, также как и виртуальную машину с Ubuntu
Вступительное тестирование
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Что такое SIEM
Не верно
Верно!
Не верно
Не верно
Какая из перечисленных ниже систем не является SIEM
Не верно
Не верно
Верно!
Не верно
Событие успешного входа в систему имеет идентификатор
Верно!
Не верно
Не верно
Не верно
Перечислите основные способы получения первоначального доступа в инфраструктуру
Верно!
Верно!
Не верно
Не верно
Знакомы ли вы с матрицей ATT&CK?
Верно ли что обычно для закрепления на хосте предварительно надо повысить привилегии?
Не верно
Верно!
Stuxnet это:
Верно
Не верно
Не верно
Не верно
Какое из перечисленного ВПО имеет свойства распространяться внутри сети?
Верно!
Не верно
Не верно
Не верно
При обращении к сайту по протоколу http по какому порту пойдёт трафик по умолчанию:
Не верно
Не верно
Верно!
Не верно
Что не является способом закрепления на хосте:
Не верно
Не верно
Не верно
Верно!
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 12 часов еженедельно, чтобы не отставать от темпа группы.
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 12 часов еженедельно, чтобы не отставать от темпа группы.
Вы новичок в охоте за угрозами
Вероятно, вы только начали свой путь в Threat Hunting. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Вы новичок в охоте за угрозами
Вероятно, вы только начали свой путь в Threat Hunting. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
Отзывы наших студентов
Данный курс, помогает структурировать знания, посмотреть на то, как видят данную процедуру TH специалисты, имеющие в этом большой опыт. Помогает усвоить базовые понятия, для чего нужен хантинг и анализ данных, поступающих из разных СЗИ. Понять важность и необходимость данного процесса, как одних из важных в ИТ сфере, без реализации которого, далеко не уедешь.
Сама по себе информация очень ценная, отдельный слайд со ссылками - прекрасно. В целом и по курсу регулярные отсылки на статьи, отчеты, инструкции и проч - отлично.
практика больше всего понравилась
У нас учатся
О компании
ИНСЕКА — это команда опытных экспертов в сфере информационной безопасности, которым небезразлична судьба отрасли. Мы знаем, с чем ежедневно приходится сталкиваться специалистам: много рутинной работы, отсутствие автоматизации процессов, несогласованность подразделений, недостаточность финансирования, бюрократия, нет доступа к иностранному ПО, информация быстро устаревает, а искать достоверную и актуальную — долго и сложно.
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное — готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное — готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
Внедряем лучший зарубежный опыт и адаптируем его под наши реалии
В команде только практикующие эксперты
Учим тому, что точно пригодится в работе
Объединяем специалистов в ИБ для обмена опытом
Записаться на курс
Длительность 5 недель
Старт 8 ноября
Старт 8 ноября
78 000 ₽
102 000 ₽
Рассрочка 0% без переплат
13 000 ₽/месяц
на 6 месяцев
6 500 ₽/месяц
на 12 месяцев
для физических лиц, гос. компаний и ВУЗов
Стоимость курса %
Стоимость курса
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты