Курс
Реагирование на инциденты и компьютерная криминалистика в ОС Windows (Digital Forensics and Incident Response in Windows OS)

Цель курса — подготовить начинающих и будущих специалистов с процессами реагирования на инциденты кибербезопасности для ОС Windows, а также познакомить специалистов с особенностями сбора и последующего анализа артефатов заражённой системы для проведения последующего расследования.

Записаться на обучение

Код курса

B-236-10

Формат обучения

Виртуальный класс

Аудитория курса:

Аналитики SOC

Вирусные аналитики

Системные администраторы

Руководители групп безопасности

Что узнают слушатели:

Процессы реагирования на инциденты

Требуемые артефакты для проведения расследования

Средства для получения таких артефактов

Способы подтверждения действий злоумышленника на зараженной системе

Чему научатся слушатели:

Собирать основые объекты расследования

Извлекать требуемые артефакты из объектов расследования

Проводить анализ полученных артефактов

Обнаруживать следы действия вредоносного ПО на системе

Программа обучения

10 занятий

40 ак. часов

Введение в реагирование и форензику

Содержание:

  • Цифровая криминалистика
    • Подразделы форензики
    • Задачи форензики
  • CERT
    • Задачи CERT
    • Реагирование на инциденты
    • Расследование инцидентов
    • Анализ вредоносного программного обеспечения
  • Шесть шагов реагированя на инцидента
    • Подготовка.
    • Идентификация.
    • Сдерживание.
    • Нейтрализация.
    • Восстановление.
    • Закрепление знаний.
  • Взаимодействие с подразделениями IT
    • SOC и DFIR
  • Требуемые средства для проведения реагирования и расследования
    • Аппаратные средства доступа
    • USB для загрузки в live-режиме
    • CAINE
    • Создание USB для загрузки
    • ПО для сбора артефактов
    • FTK imager
    • System Internals
    • KAPE

Упражнение:

  • Подготовка USB для сбора информации о системе
Важные артефакты работы системы и их обработка (Сбор данных)

Содержание:

  • Объекты исследования
  • Способы сбора технических данных
    • Идеальная последовательность действий
    • Важность снятия RAM
    • Элементы, содержащие RAM
    • Использование FTK для получения снимка RAM
    • Использование Belkasoft для получения снимка RAM
    • Получение снимка RAM в Linux
    • Проверка шифрования накопителя информации
    • Программное снятие снимка накопителя
    • Монтирование образа диска
    • Экспортирование файлов из образа
    • Получение артефактов из образа диска
      • MFT
      • UsnJrnl
      • Registry
      • AmCache
      • Prefetch
      • LNK & JumpList
      • Event Log

Упражнение:

  • Извлечение полезных артефактов с накопителя на ранних этапах реагирования
Поиск ВПО на системах и в сети

Содержание:

  • Действия злоумышленника:
    • Cyber kill chain
    • MITRE ATT&CK
  • Что такое ВПО?
    • Понятие процесса
  • Следы работы ВПО на системе
    • Карвинг
    • Volume Shadow Copy
    • Использование сторонних антивирусов
    • IOC и их использование
    • Анализ дампа памяти
    • Поиск методов закрепления
    • Анализ Event Log
    • Получение и проверка хеш-значений файлов в открытых источниках
    • Аномалии временных меток и расположений
  • Вывод по поиску ВПО

Упражнение:

  • Поиск следов наличия ВПО
Анализ снимков оперативной памяти

Содержание:

  • RAM
    • Источники участков RAM
    • Важность снятия RAM
  • Фреймворки
    • rekal
    • Volatility
  • Анализ запущенных процессов
    • Информация о процессах
    • Идентификация подозрительных процессов
  • Анализ окружения процессов
    • Анализ используемых DLL и хендлов
    • Сетевые соединения
    • Анализ соединений
    • Внедрение кода
    • Извлечение данных
    • Строковый поиск
    • Восстановление MFT

Упражнение:

  • Анализ снимков оперативной памяти
NTFS

Содержание:

  • Файловая система
    • Особенности хранения данных
    • Строение TSK
    • Строение NTFS
    • Строение MFT
  • Системные MFT-записи
  • Создание timeline для файловой системы

Упражнение:

  • Работа с NFTS
Артефакты реестра

Содержание:

  • Строение реестра и его расположение
  • Конфигурационная информация ОС
  • Использование USB-устройств
Системные логи Windows

Содержание:

  • Расположение и типы логов Windows
  • Основные отображаемые события
  • Обработка корреляции событий
Артефакты закрепления и исполнения

Содержание:

  • Файлы prefetch
  • Артефакты реестра
  • Распространение по сети
Следы в браузерах

Содержание:

  • Сбор артефактов браузеров
  • Анализ Edge
  • Анализ Chrome
  • Анализ Firefox
Проверочное занятие

Содержание:

  • Тестовая часть по проведённым лекционным занятиям
  • Практическая часть формата jeopardy (образы диска для поиска следов атаки)
Записаться на обучение

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели проходят тестирование на соответствие требованиям CyberEd. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

  • Требования к слушателям курса:
    • Иметь представление о работе вредоносного ПО
    • Уметь работать с ОС Linux или ОС Windows на уровне продвинутого пользователя (Установка пакетов, работа с терминальной оболочкой)
    • Иметь знания о тактиках и техниках злоумышленника (MITRE ATT&CK)
    • Уметь работать с системами виртуализации (VirtualBox, VMWare)
    01   / 05

    Записаться на обучение

    Стоимость

    114 000 рублей

    !
    !

    FAQ — ответы на частозадаваемые вопросы

    Требования к программному обеспечению?

    Рекомендуемые технические требования

    для комфортного прохождения модуля и сохранения всех полученных материалов:

    • Не менее 16 ГБ оперативной памяти
    • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
    • Жесткий диск SSD со свободным местом не менее 250 ГБ
    • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
    • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
    • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

    Все ответы

    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжеться с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле