Личный кабинет
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Заказать звонок
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Threat Hunting
Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки
Online
Практический курс по поиску киберугроз
Старт группы — 01.06.2024
Длительность — 5 недель
После успешного прохождения курса выдается удостоверение о повышении квалификации и электронный сертификат
выявлять аномалии на хосте и в сетевом трафике, которые не были задетектированы стандартными средствами защиты;
формулировать и проверять гипотезы о киберугрозах.
понимать мышление злоумышленника;
отличать аномалии от легитимного поведения;
После освоения курса вы научитесь:
Технологии и инструменты, которые будете использовать:
Suricata
Wireshark
Network Miner
YARA
Sysmon
Volatility
Microsoft Compliance Product
THOR Lite
*большинство инструментов, рассмотренных в курсе одинаково хорошо работают и на Windows, и на Linux
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
30
часов практики с наставником
30
часов теории
Упражнения курса воссоздают жизненный цикл TH, этапы которого проходит на практике каждый аналитик киберугроз
обновили материалы в январе 2024 года, чтобы вы были в курсе самых последних киберугроз и атак, а также методов обеспечения безопасности
*
Кому будет полезно пройти курс
Специалистам с опытом в IT/ИБ от 1 года, которые хотят стать аналитиками команды поиска киберугроз
Аналитикам Threat Intelligence
Аналитикам SOC (2-3 линия)
Cпециалистам CIRT
Программа повышения квалификации
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс 8-12 часов в неделю.
📄 1.1 Что такое Threat Hunting и почему это важно
📄 1.2 Взаимосвязь с процессом Incident Responce
📄 1.3 Взаимосвязь с процессом Threat Intelligence
📄 1.4 Работа глазами аналитика команды поиска угроз
⚙️ Практическая работа. Анализ отчёта от Positive Technologies
📄 1.2 Взаимосвязь с процессом Incident Responce
📄 1.3 Взаимосвязь с процессом Threat Intelligence
📄 1.4 Работа глазами аналитика команды поиска угроз
⚙️ Практическая работа. Анализ отчёта от Positive Technologies
📄 2.1 Этапы процесса TH
📄 2.2 Уровни зрелости процесса TH
📄 2.3 Методологии TH и формулировки гипотез
📄 2.4 Метрики процесса
📄 2.5 Работа с матрицей ATT&CK
▶️ Скринкаст о навигаторе и покрытие
⚙️ Практическая работа. Формирование слоёв и ландшафта угроз в MITRE ATT&CK Navigator
🗣️ Вебинар. Знакомство. Опыт. Кейсы.
📄 2.2 Уровни зрелости процесса TH
📄 2.3 Методологии TH и формулировки гипотез
📄 2.4 Метрики процесса
📄 2.5 Работа с матрицей ATT&CK
▶️ Скринкаст о навигаторе и покрытие
⚙️ Практическая работа. Формирование слоёв и ландшафта угроз в MITRE ATT&CK Navigator
🗣️ Вебинар. Знакомство. Опыт. Кейсы.
📄 3.1 Pyramid of Pain
📄 3.2 Yara
▶️ Скринкаст про Yara
▶️ Скринкаст Threat Intelligence Platform
⚙️ Практическая работа. Написание Yara-правил вручную и с помощью утилиты yargen
📄 3.3 Sigma
📄 3.4 Эффективное использование TI в TH
📄 3.2 Yara
▶️ Скринкаст про Yara
▶️ Скринкаст Threat Intelligence Platform
⚙️ Практическая работа. Написание Yara-правил вручную и с помощью утилиты yargen
📄 3.3 Sigma
📄 3.4 Эффективное использование TI в TH
📄 4.1 Стек TCP/IP
📄 4.2 Сетевые устройства
📄 4.3 Пакетный анализ и Wireshark
▶️ Скринкаст. Работа в Wireshark
⚙️ Практическая работа. Написание Sigma-правил
📄 4.2 Сетевые устройства
📄 4.3 Пакетный анализ и Wireshark
▶️ Скринкаст. Работа в Wireshark
⚙️ Практическая работа. Написание Sigma-правил
📄 5.1 ARP трафик
📄 5.2 ICMP трафик
📄 5.3 TCP трафик
📄 5.4 DHCP трафик
📄 5.5 DNS трафик
📄 5.6 HTTP & HTTPS трафик
▶️ Скринкаст про сессии в Wireshark
▶️ Скринкаст про Network Miner
⚙️ Практическая работа. Поиск подозрительного трафика с помощью Wireshark и Network Miner
🗣️ Вебинар. Анализ дампа сетевого трафика
📄 5.2 ICMP трафик
📄 5.3 TCP трафик
📄 5.4 DHCP трафик
📄 5.5 DNS трафик
📄 5.6 HTTP & HTTPS трафик
▶️ Скринкаст про сессии в Wireshark
▶️ Скринкаст про Network Miner
⚙️ Практическая работа. Поиск подозрительного трафика с помощью Wireshark и Network Miner
🗣️ Вебинар. Анализ дампа сетевого трафика
📄 6.1 Работа с Suricata
📄 6.2 Подготовка стенда
📄 6.3 Инструментарий по поиску веб-шеллов
▶️ Скринкаст про THOR Lite сканер
⚙️ Практическая работа. Поиск подозрительного трафика и файлов. Написание Suricata-правил
📄 6.2 Подготовка стенда
📄 6.3 Инструментарий по поиску веб-шеллов
▶️ Скринкаст про THOR Lite сканер
⚙️ Практическая работа. Поиск подозрительного трафика и файлов. Написание Suricata-правил
📄 7.1 Классификация ВПО
📄 7.2 Доставка ВПО
📄 7.3 Закрепление на хосте
📄 7.2 Доставка ВПО
📄 7.3 Закрепление на хосте
📄 8.1 Детектирующее ПО
📄 8.2 Детектирующие техники
📄 8.3 Анализ дампов памяти
▶️ Скринкаст по работе с Volatility
✅ Тест на понимание типов и поведения ВПО
💡 Вебинар. Поиск угроз на хостах под управлением Windows
📄 8.2 Детектирующие техники
📄 8.3 Анализ дампов памяти
▶️ Скринкаст по работе с Volatility
✅ Тест на понимание типов и поведения ВПО
💡 Вебинар. Поиск угроз на хостах под управлением Windows
📄 9.1 Навыки: цифровая криминалистика
📄 9.2 Процессы в Windows
📄 9.3 Baseline
▶️ Скринкаст по работе с Microsoft Compliance Product
⚙️ Практическая работа. Работа с Microsoft Compliance Product
📄 9.2 Процессы в Windows
📄 9.3 Baseline
▶️ Скринкаст по работе с Microsoft Compliance Product
⚙️ Практическая работа. Работа с Microsoft Compliance Product
📄 10.1 Журналы событий Windows
📄 10.2 Идентификаторы событий Windows
📄 10.3 Пересылка событий
📄 10.4 Инструментарий
▶️ Скринкаст по работе с Sysmon
⚙️ Практическая работа. Работа с конфигурационными файлами
💡 Воркшоп. Поиск открытых учётных данных в инфраструктуре сети
⚙️ Практическая работа. Формулировка гипотез для инфраструктуры на основе TI-отчёта
🎁 Toolbox
📄 10.2 Идентификаторы событий Windows
📄 10.3 Пересылка событий
📄 10.4 Инструментарий
▶️ Скринкаст по работе с Sysmon
⚙️ Практическая работа. Работа с конфигурационными файлами
💡 Воркшоп. Поиск открытых учётных данных в инфраструктуре сети
⚙️ Практическая работа. Формулировка гипотез для инфраструктуры на основе TI-отчёта
🎁 Toolbox
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Кирилл Митрофанов
Эксперт курса
Прошёл путь от специалиста технической поддержки до руководителя группы исследования киберугроз. Внедрял SIEM решения в инфраструктуру заказчиков, выстраивал с нуля процессы Incident Response и Threat Hunting в крупных российских компаниях. Любит исследовать, разбираться, копаться в деталях, новые идеи и конструктив.
Сертификаты
- eLearnSecurity Certified Threat Hunting Professional
- ATT&CK® Cyber Threat Intelligence Certification
- ATT&CK® Security Operations Center Assessments Certification
- IBM Certified Associate Administrator - IBM QRadar SIEM
Ключевые навыки
- Threat Intelligence
- Threat Hunting
- SOC Analyst
kirill-mitrofanov
Владислав Бурцев
Senior Threat Intelligence analyst
Senior Threat Intelligence analyst
Опыт, полученный в реальных кейсах и взаимодействие с заказчиками позволяют эффективно работать в роли аналитика Cyber Threat Intelligence.
Ключевые навыки
Ключевые навыки
- Windows
- Threat Intelligence
- SOC
vladislav-burtsev
Как проходит курс
В процессе освоения программы вы примерите на себя роль аналитика команды поиска киберугроз. Вместе с наставником курса решите задачи, с которыми сталкиваются в реальной жизни ИБ-команды большинства компаний. Вы сможете на практике пройти весь жизненный цикл TH.
Чтобы выполнить задачи и обеспечить безопасность, вам нужно столкнуться с такими форматами:
Лекции и скринкасты
30 часов информации изложено в формате лекций и скринкастов— это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются аналитики команды поиска угроз каждый день: от создания ландшафта угроз и работы с индикаторами компрометации, до формулировки и проверки гипотез, включая реальные кейсы компаний. При решении задач обучающиеся используют реальные инструменты и платформы анализа данных.
30 часов информации изложено в формате лекций и скринкастов— это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются аналитики команды поиска угроз каждый день: от создания ландшафта угроз и работы с индикаторами компрометации, до формулировки и проверки гипотез, включая реальные кейсы компаний. При решении задач обучающиеся используют реальные инструменты и платформы анализа данных.
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Учим мыслить, как охотник за угрозами
Даём широкий взгляд на TH, не концентрируемся на конкретных инструментах или вендорах. Придя работать в компанию вы сможете понять, что от вас требуется.
Даём широкий взгляд на TH, не концентрируемся на конкретных инструментах или вендорах. Придя работать в компанию вы сможете понять, что от вас требуется.
Доступ к курсу на 6 месяцев
Возвращайтесь к материалам и повторяйте изученное.
Возвращайтесь к материалам и повторяйте изученное.
Нет битых ссылок
Приводим только актуальные инструменты в качестве примеров.
Приводим только актуальные инструменты в качестве примеров.
Вечный доступ в закрытый чат телеграм INSECA CLUB
Обменивайтесь опытом с коллегами и экспертами.
Обменивайтесь опытом с коллегами и экспертами.
Что ещё важно
Необходимые знания для освоения программы курса
- Понимать основы архитектуры современных корпоративных инфраструктур
- Понимать основы ИБ (в т.ч. Cyber Kill Chain, MITRE ATT&CK, TTP) в части векторов атак и защиты от них
- Понимать типовые плейбуки по расследованию и реагированию в разрезе основных типов инцидентов ИБ системах (ОС, СЗИ, сетевое оборудование, прикладное ПО и т.д.)
- Уметь читать техническую литературу на английском. Например, такие отчеты.
Технические рекомендации для прохождения курса
- Процессор: 4-ядерный;
- ОЗУ: 8 Гб;
- Жёсткий диск: 250 Гб;
- Доступ в интернет;
- Операционная система Windows.
Программное обеспечение, которое потребуется для выполнения заданий, вы установите прямо во время обучения по нашим инструкциям, также как и виртуальную машину с Ubuntu
Вступительное тестирование
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
| Пройти тест |
Что такое SIEM
Не верно
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какая из перечисленных ниже систем не является SIEM
Не верно
Не верно
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Событие успешного входа в систему имеет идентификатор
Верно!
Не верно
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Перечислите основные способы получения первоначального доступа в инфраструктуру
Верно!
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Знакомы ли вы с матрицей ATT&CK?
| Дальше |
| Проверить |
| Узнать результат |
Верно ли что обычно для закрепления на хосте предварительно надо повысить привилегии?
Не верно
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Stuxnet это:
Верно
Не верно
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какое из перечисленного ВПО имеет свойства распространяться внутри сети?
Верно!
Не верно
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
При обращении к сайту по протоколу http по какому порту пойдёт трафик по умолчанию:
Не верно
Не верно
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Что не является способом закрепления на хосте:
Не верно
Не верно
Не верно
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 12 часов еженедельно, чтобы не отставать от темпа группы.
| Пройти еще раз |
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 12 часов еженедельно, чтобы не отставать от темпа группы.
| Пройти еще раз |
Вы новичок в охоте за угрозами
Вероятно, вы только начали свой путь в Threat Hunting. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
| Пройти еще раз |
Вы новичок в охоте за угрозами
Вероятно, вы только начали свой путь в Threat Hunting. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
| Пройти еще раз |
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
| Пройти еще раз |
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
| Пройти еще раз |
Отзывы наших студентов
Данный курс, помогает структурировать знания, посмотреть на то, как видят данную процедуру TH специалисты, имеющие в этом большой опыт. Помогает усвоить базовые понятия, для чего нужен хантинг и анализ данных, поступающих из разных СЗИ. Понять важность и необходимость данного процесса, как одних из важных в ИТ сфере, без реализации которого, далеко не уедешь.
Сама по себе информация очень ценная, отдельный слайд со ссылками - прекрасно. В целом и по курсу регулярные отсылки на статьи, отчеты, инструкции и проч - отлично.
практика больше всего понравилась
У нас учатся
О компании
ИНСЕКА – это команда опытных экспертов в сфере информационной безопасности, которым небезразлична судьба отрасли. Мы знаем, с чем ежедневно приходится сталкиваться специалистам: много рутинной работы, отсутствие автоматизации процессов, несогласованность подразделений, недостаточность финансирования, бюрократия, нет доступа к иностранному ПО, информация быстро устаревает, а искать достоверную и актуальную – долго и сложно.
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты – это “играющие тренеры”. Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное – готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты – это “играющие тренеры”. Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное – готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
Внедряем лучший зарубежный опыт и адаптируем его под наши реалии
В команде только практикующие эксперты
Учим тому, что точно пригодится в работе
Объединяем специалистов в ИБ для обмена опытом
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Длительность 5 недель
Старт 1 июня 2024 года
Стоимость курса
Старт 1 июня 2024 года
Стоимость курса
70 800 ₽
Рассрочка 0% без переплат
11 800 ₽/месяц
на 6 месяцев
Рассрочка 0% без переплат
5 900 ₽/месяц
на 12 месяцев
для физических лиц
Стоимость курса для юридических лиц по запросу
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты