Курс
Аналитик SOC (Security Operations Center Analyst)

Обучить будущих аналитиков Центров управления и мониторинга безопасности (Security Operations Center) сформировавшимся подходами и практиками по работе подразделения, инструментам для обнаружения кибератак на корпоративную инфраструктуру, а также реагированию на инциденты ИБ в различных информационных системах. Разделы курса знакомят будущих специалистов с теорией функционирования подразделений SOC и лучшими практиками по построению систем реагирования и мониторинга инцидентов информационной безопасности, и делают основной упор на развитие практических умений по настройке систем мониторинга и аггрегации данных, а также умений по расследованию и верификации инцидентов информационной безопасности в корпоративной ИТ-инфраструктуре.

Записаться на обучение

Код курса

B-228-10

Формат обучения

Виртуальный класс

Аудитория курса:

Начинающие специалисты SOC 1 - 2 линия

Администраторы локальных ИТ-инфраструктур

Администраторы безопасности

Начинающие руководители SOC центров

Что узнают слушатели:

Устройство, принципы работы и процессы работающие в SOC

Средства для обеспечения защищенности, мониторинга и автоматизации процессов ИБ в SOC

Тактику реагирования на инциденты, устранение последствий инцидентов и теорию проведения анализа по завершении инцидента

Типовые векторы атак на: сетевые протоколы уровней (L2,L3,L4,L7), операционные системы, веб-приложения

Способы обнаружения вредоносного программного обеспечения в локальной сети

Чему научатся слушатели:

Применять инструменты мониторинга и логирования событий, системы обнаружения и предотвращения вторжений (IDS/IPS)

Настраивать агрегирование данных с конечных точек и строить корреляции инцидентов ИБ

Обнаруживать зловредные программы в локальных сетях по трафику, а также исследовать скрытые каналы передачи данных (ICMP/DNS/SSH-тунели)

Обнаруживать следы компрометации в операционных системах и веб-приложениях

Ликвидировать последствия инцидентов ИБ в корп. инфраструктуре

Программа обучения

10 занятия

40 ак. часов

Security Operation Center (SOC)

Security Operations Center — знакомство, лучшие практики, стандарты, инструменты


Содержание:

  • Составные части SOC
  • Основные принципы работы SOC (процессы, плейбуки, ранбуки)
  • SOC роли и обязанности участников
  • Инвентаризация серверов/сервисов. Списки ответсвенных.
  • Обработка алертов, эскалации, политики компании
  • SIEM Системы (общая архитектура: агенты, BD, корреляторы)
  • Инструменты автоматизации ИБ (UBA/UEBA, SIEM/SOAR, DLP, FW, WAF, IDS, IPS, Endpoint Security (EDR), Antivirus, XDR; CORTEX, n8n, pytest, IRP, TI)

Упражнения:

  • Демонстрация систем автоматизации ИБ для подготовки к работе с ПО.
  • ELK/Splunk (предоставить docker compose или попросить попробовать в облаках)
  • Задачи на поиск информации в системах SIEM
  • Установить пару агентов и собрать логи в файл
Сбор и анализ данных

Содержание:

  • Данные: как собирать, как нормализовать. Нейминг полей, модель данных
  • Агрегирование журналов через SIEM
  • Агрегирование данных конечных точек
  • Vector, kafka. Путь лога. Отказоустойчивость архитектуры.
  • ELK стэк: Elastic , Kibana, Logstash.
  • Сбор событий, артефактов. Форензика.
  • Корреляция событий. Подходы создания правил. Примеры конвертации информациии из TI в алерты.

Упражнения:

  • Настройка системы аггрегации и корреляции событий с конечных точек (ELK)
Мониторинг инцидентов информационной безопасности

Содержание:

  • Подготовка набора инструментов для дальнейшего сбора событий
  • SIEM мониторинг и корреляция
  • Мониторинг и логирование событий в сети и на хостах с помощью системы обнаружения вторжений/системы предотвращения вторжений (IDS/IPS, DNS, netflow, RADIUS, DHCP, Syslog, DC AD)
  • Мониторинг корпоративной инфраструктуры в режиме реального времени (Сеть: IDS/IPS, ОС: EDR/Antivirus Win/Lin, Приложения: WAF, DLP)

Упражнения:

  • Настройка систем регистрирования инцидентов (IDS: PFSense + Suricata, WAF: Apache + ModSecurity, Logs: Linux + syslog)
Атаки и выявление атак на сетевом уровне

В рамках занятия будут рассмотрены атаки и их особенности обнаружения на различных уровнях сетевой модели OSI


Содержание:

  • Детектирование атак на канальном уровне (L2). ARP-spoofing, DHCP-snooping, VLAN-Hooping, STP-Attack, атака и обнаружение LLMNR/NBT-NS Poisoning
  • Детектирование атак на сетевом уровне (L3). Внедрение фейкового маршрута OSPF
  • Детектирование атак на транспортном уровне(L4). Атака tcp-hijacking
  • Детектирование атак на сеансовом уровне (L5). RPC attack, SSL-Split
  • Детектирование атак на уровне приложений (L7). DNS-Spoofing, SQLinjection, SMTP enumeration

Упражнения:

  • Разбор атакующего трафика и поиск аномалий в сетевом трафике
Анализ и выявление атак первоначального доступа к ОС

Содержание:

  • Обнаружение сканирования инфраструктуры
  • Особенности обнаружения BruteForce атак с точки зрения анализа косвенных данных сетевых узлов
  • Обнаружение эксплуатации популярных уязвимостей ОС (EternalBlue, Zerologon, любые)
  • Заражение ВПО (почта, загрузки, мессенджеры)

Упражнения:

  • Детектирование атак сканирования
  • Проведение атаки применения эксплойта и ее обнаружение
Атаки и выявление атак на приложения

Содержание:

  • Прикладные протоколы и атаки на них (HTTP, FTP, SSH, SMTP, RDP, SMB)
  • Типовые атаки на прикладные протоколы и ПО
  • Обнаружение атак (Сбор событий)

Упражнения:

  • Проведение атаки на протокол SSH, обнаружение и верификация
  • Проведение атаки на веб-приложение Unrestricted File Upload, обнаружение и верификация
  • RCE, SSRF
Обнаружение сложных атак внутри офисной и серверной инфраструктуры

Содержание:

  • Способы и методы скрытия трафика. Особенности работы туннелирования (ICMP/DNS/SSH-тунели)
  • Способы и методы обнаружения скрытых туннелей и Remote Administration Tools (rAdmin, TeamViewer etc.)

Упражнения:

  • Обнаружение активности RAT
  • Обнаружение скрытых тоннелей. ICMP-tunneling
  • Обнаружение скрытых тоннелей. DNS-tunneling
Реагирование на инциденты информационной безопасности

Содержание:

  • Воркфлоу реагирования на инцидент
  • Тактика реагирования на инцидент (Windows, Linux, Cloud, K8S)
  • Координирование реагирования и устранения последствий
  • Анализ по завершении инцидента
  • Описание правил по реагированию на инциденты и создание плейбуков и ранбуков.
  • Координация исправления уязвимости

Упражнения:

  • Практика на отработку реагирования на инцидент через генерацию атакующих векторов на созданную подготовленную SIEM систему
Расследование инцидента компьютерной безопасности

Содержание:

  • Обследование ОС
  • Работа с памятью
  • Работа с журналами
  • Изучение реестра
  • Анализ файловой системы

Упражнения:

  • Поиск аномалий и следов компрометации в ОС Windows
Устранение последствий инцидента компьютерной безопасности и обсуждение перспектив развития

Содержание:

  • Ликвидация последствий инцидентов ИБ (восстановление файлов из памяти, резервные копии и т.д.)
  • С чего начинать SOC и как развивать SOC?
  • Добавление Threat Intelligence

Упражнения:

  • Восстановление данных после инцидента
Записаться на обучение

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели проходят тестирование на соответствие требованиям CyberEd. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

  • Требования к слушателям курса:
    • Уметь читать специализированную документацию и техническую литературу на английском языке


    Linux системы:

    • Устанавливать операционные системы Debian Linux, Ubuntu Linux, CentOS
    • Настраивать гипервизоры для работы с операционными системами семейства Linux
    • Проводить начальную подготовку операционной системы для определенных задач (настройка пользователей, сети, SSH, необходимые ПО)
    • Писать простые скрипты на bash и устанавливать их как сервисы (daemons)
    • Настраивать параметры безопасности ОС Linux (межсетевой экран)


    Windows системы:

    • Уметь настраивать окружение Active Directory и контроллер домена
    • Уметь настраивать сервисы и политики DNS, File Shares, DHCP, GPO.
    • Уметь настраивать и управлять группами пользователей и отдельными пользователями
    • Уметь управлять доменной инфраструктурой через консоли Powershell и cmd.


    Компьютерные сети:

    • Иметь представление о взаимодействии компьютеров в сети (понимать работу протоколов IP, TCP, DNS, HTTP);
    • Уметь управлять корпоративной сетью на базе Cisco
    • Настраивать динамическую и статическую маршрутизацию в сети
    • Настраивать VLAN и Trunk порты


    Пройденное входное тестирование на 80% и более

    01   / 05

    Записаться на обучение

    Стоимость

    114 000 рублей

    !
    !

    FAQ — ответы на частозадаваемые вопросы

    Требования к программному обеспечению?

    Рекомендуемые технические требования

    для комфортного прохождения модуля и сохранения всех полученных материалов:

    • Не менее 16 ГБ оперативной памяти
    • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
    • Жесткий диск SSD со свободным местом не менее 250 ГБ
    • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
    • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
    • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

    Все ответы

    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжеться с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле