О мероприятии
Воркшоп поможет начинающим инженерам и аналитикам SOC, SecOps-инженерам научиться выполнять анализ 3 новых типов атак. Вы разберете на их примерах правила анализа и фиксирования событий в журналах Windows в ходе атак, узнаете принципы создания детектов, научитесь на основе статей и POC по новым типам атак самостоятельно создавать и писать правила обнаружения в open-sourse SIEM (ELK).
Программа
В настоящее время у российских компаний нет возможности использовать зарубежные технологические инструменты. Им приходится переходить на open source решения, у которых отсутствуют централизованные и постоянно обновляемые базы сигнатур. И компаниям приходится создавать их самостоятельно. По этой причине SOC L3 аналитики вынуждены заниматься разработкой правил обнаружения, руководствуясь лишь общими описаниями новых тактик и техник. На воркшопе мы разберем примеры создания таких правил обнаружения.
- SOC-инженеры. Зачастую SOC L1/2 инженеру нет необходимости иметь глубокие знания в ИБ, т.к. критерием качества их работы является умение быстро и четко отрабатывать по ранее составленным плейбукам. Для того чтобы расти и развивать свою карьеру им необходимо понимать не только алгоритмы расследования инцидентов, но и принципы их обнаружения, уметь самим создавать новые правила обнаружения.
- SecOPS-инженеры. SecOPS инженеры занимаются поддержкой SOC инфраструктуры, но могут не понимать, как используются успешно собранные логи, как логи превращаются в инструменты обнаружения злоумышленников и как такие инструменты можно создавать самостоятельно. Мы поможем им в этом разобраться.
Тема 1. Обнаружение атаки DCsync
- Проводим атаку DCsync
- Фиксируем события в журналах ОС
- Строим правило обнаружения в SIEM
Тема 2. Обнаружение атаки AD CS Domain Escalation
- Проводим атаку AD CS Domain Escalation
- Фиксируем события в журналах ОС
- Строим правило обнаружения в SIEM
Тема 3. Обнаружение атаки Resource-based Constrained Delegation
- Проводим атаку Resource-based Constrained Delegation
- Фиксируем события в журналах ОС
- Строим правило обнаружения в SIEM
- Умение читать специализированную документацию и техническую литературу на английском языке (можно со словарем)
- Иметь представление о взаимодействии компьютеров в сети
- Базовые знания пентеста, умение пробрасывать реверс-шеллы
- Знание ОС семейства Linux, умение работать в терминале
- Microsoft Teams
- Браузер Chrome или Mozilla Firefox
Для комфортного прохождения воркшопа и сохранения всех полученных материалов
- Не менее 8 ГБ DDR3 оперативной памяти
- Процессор не менее восьми ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 256 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
- Доступ к тестовой инфраструктуре
- Методические рекомендации
- Карты атак на системы
Участники воркшопа разберут примеры атак на системы, научатся фиксировать журнал событий в момент атаки, формулировать логическую цепочку событий с целью ее идентификации, изучат основные принципы создания детектов, научатся создавать и выполнять настройку корреляционных правил обнаружения в ELK.
Петр Зузанов
SecOps Manager в RingCentral.
Эксперт SOC.
Также работал Senior Security Engineer в Sberbank, Performance software engineer в ITIVITI, SecOps TeamLead в RingCentral.
Ключевые компетенции:
- Создание эффективного SOC
- Проектирование защиты высоконагруженных систем
- Построение сетевой защиты от внешних и внутренних угроз
- Построение процессов управления уязвимостями
- Тестирование на проникновение корпоративных сетей
Опыт по преподаваемым темам более 15 лет.
Петр регулярно участвует и завоевывает места в профильных соревнованиях: The Standoff, Cyber Polygon.