Практический курс по поиску киберугроз

📄 1.1 Что такое Threat Hunting и почему это важно
📄 1.2 Взаимосвязь с процессом Incident Responce
📄 1.3 Взаимосвязь с процессом Threat Intelligence
📄 1.4 Работа глазами аналитика команды поиска угроз
⚙️ Практическая работа. Анализ отчёта от Positive Technologies

📄 2.1 Этапы процесса TH
📄 2.2 Уровни зрелости процесса TH
📄 2.3 Методологии TH и формулировки гипотез
📄 2.4 Метрики процесса
📄 2.5 Работа с матрицей ATT&CK
▶️ Скринкаст о навигаторе и покрытие
⚙️ Практическая работа. Формирование слоёв и ландшафта угроз в MITRE ATT&CK Navigator
🗣️ Вебинар. Знакомство. Опыт. Кейсы.

📄 3.1 Pyramid of Pain
📄 3.2 Yara
▶️ Скринкаст про Yara
▶️ Скринкаст Threat Intelligence Platform
⚙️ Практическая работа. Написание Yara-правил вручную и с помощью утилиты yargen
📄 3.3 Sigma
📄 3.4 Эффективное использование TI в TH

📄 4.1 Стек TCP/IP
📄 4.2 Сетевые устройства
📄 4.3 Пакетный анализ и Wireshark
▶️ Скринкаст. Работа в Wireshark
⚙️ Практическая работа. Написание Sigma-правил

📄 5.1 ARP трафик
📄 5.2 ICMP трафик
📄 5.3 TCP трафик
📄 5.4 DHCP трафик
📄 5.5 DNS трафик
📄 5.6 HTTP & HTTPS трафик
▶️ Скринкаст про сессии в Wireshark
▶️ Скринкаст про Network Miner
⚙️ Практическая работа. Поиск подозрительного трафика с помощью Wireshark и Network Miner
🗣️ Вебинар. Анализ дампа сетевого трафика

📄 6.1 Работа с Suricata
📄 6.2 Подготовка стенда
📄 6.3 Инструментарий по поиску веб-шеллов
▶️ Скринкаст про THOR Lite сканер
⚙️ Практическая работа. Поиск подозрительного трафика и файлов. Написание Suricata-правил

📄 7.1 Классификация ВПО
📄 7.2 Доставка ВПО
📄 7.3 Закрепление на хосте

📄 8.1 Детектирующее ПО
📄 8.2 Детектирующие техники
📄 8.3 Процессы в Windows
📄 8.4 Анализ дампов памяти
📄 8.5 Работа с вредоносными офисными файлами
▶️ Скринкаст по работе с Volatility
✅ Тест на понимание типов и поведения ВПО
💡 Вебинар. Поиск угроз на хостах под управлением Windows

📄 9.1 Навыки: цифровая криминалистика
📄 9.2 Baseline
▶️ Скринкаст по работе с Microsoft Compliance Product
⚙️ Практическая работа. Работа с Microsoft Compliance Product

📄 10.1 Журналы событий Windows
📄 10.2 Идентификаторы событий Windows
📄 10.3 Пересылка событий
📄 10.4 Инструментарий
▶️ Скринкаст по работе с Sysmon
⚙️ Практическая работа. Работа с конфигурационными файлами
💡 Воркшоп. Поиск открытых учётных данных в инфраструктуре сети
⚙️ Практическая работа. Формулировка гипотез для инфраструктуры на основе TI-отчёта
🎁 Toolbox

Курс подойдет:
- Аналитикам команды поиска киберугроз
- Аналитикам Cyber Threat Intelligence
- Аналитикам SOC (2–3 линия)
- Специалистам по реагированию на инциденты
- Руководителям, желающим выстроить качественный процесс TH.

Для успешного прохождения курса необходимо знать:
- Основы архитектуры корпоративных инфраструктур
- Типовые плейбуки по расследованию и реагированию на инциденты (сбор информации в Windows/Linux, работа с СЗИ и сетевым оборудованием)
- Знание векторов атак (Cyber Kill Chain, MITRE ATT&CK, TTPs злоумышленников)
- Чтение технической литературы на английском (например, отчеты от команды Checkpoint Research).

В рамках курса вы познакомитесь с инструментами:
- YARA, Suricata.
- Wireshark, Network Miner.
- Sysmon, Volatility.
- Microsoft Compliance Product.
- THOR Lite.

Все практические работы выполняются локально на хосте. Необходимое программное обеспечение вы скачаете и установите в процессе обучения по нашим инструкциям.

Для комфортного обучения рекомендуется:
Процессор: 4 ядра.
ОЗУ: 8 ГБ.
Жесткий диск: 250 ГБ.
ОС: Windows.

Для успешного завершения курса необходимо выполнить 6 из 9 практических работ. Также сдать итоговый тест, который покрывает все темы курса.

Threat Hunting - это проактивный поиск угроз в инфраструктуре, которые не были обнаружены стандартными средствами защиты.

С помощью Threat Hunting:
- выявляют скрытые атаки и активность злоумышленников, не зафиксированную средствами защиты
- находят аномалии в поведении пользователей, систем и сетевого трафика
- проверяют гипотезы в инфраструктуре, основываясь на мнении, что её уже скомпрометировали
- сокращают время обнаружения атак (MTTD)
- улучшают правила детектирования в SIEM, EDR и других системах.