- Главная
- Кибербезопасность
- Аналитик SOC (Security Operations Center Analyst)
Курс
Аналитик SOC (Security Operations Center Analyst)
Цели курса:
- Знакомство с теорией функционирования подразделений SOC
- Знакомство с лучшими практиками по построению систем реагирования и мониторинга инцидентов информационной безопасности
- Знакомство с типовыми векторами атак на: сетевые протоколы уровней L2,L3,L4,L7, операционные системы, веб-приложения
- Освоение подходов и практик по задачам Центров управления и мониторинга безопасности (Security Operations Center)
- Освоение инструментов для обнаружения кибератак на корпоративную инфраструктуру
- Освоение тактик реагирования на инциденты ИБ в различных информационных системах
Код курса
B-228
Формат обучения
Виртуальный класс
Стоимость для физических лиц
49 000 рублей
Аудитория курса:
Начинающие специалисты SOC 1 - 2 линия
Администраторы локальных ИТ-инфраструктур
Администраторы безопасности
Начинающие руководители SOC центров
Профессиональные задачи, которые мы научим решать:
Настройка систем мониторинга и логирования событий
Применение системы обнаружения и предотвращение вторжений (IDS/IPS)
Настройка агрегирования данных с конечных точек и построение корреляции инцидентов ИБ
Расследование и верификация инцидентов информационной безопасности в корпоративной ИТ-инфраструктуре, в т.ч. по исследование скрытых каналы передачи данных (ICMP/DNS/SSH-тунели).
Программа обучения
10 занятия
40 ак. часов
- Составные части SOC
- Основные принципы работы SOC (процессы, плейбуки, ранбуки)
- SOC роли и обязанности участников
- Инвентаризация серверов/сервисов. Списки ответсвенных
- Обработка алертов, эскалации, политики компании
- SIEM Системы (общая архитектура: агенты, BD, корреляторы)
- Инструменты автоматизации ИБ (UBA/UEBA, SIEM/SOAR, DLP, FW, WAF, IDS, IPS, Endpoint Security (EDR), Antivirus, XDR; CORTEX, n8n, pytest, IRP, TI)
- Данные: как собирать, как нормализовать. Нейминг полей, модель данных
- Агрегирование журналов через SIEM
- Агрегирование данных конечных точек
- Vector, kafka. Путь лога. Отказоустойчивость архитектуры
- ELK стэк: Elastic , Kibana, Logstash
- Сбор событий, артефактов. Форензика
- Корреляция событий. Подходы создания правил. Примеры конвертации информациии из TI в алерты
- Подготовка набора инструментов для дальнейшего сбора событий
- SIEM мониторинг и корреляция
- Мониторинг и логирование событий в сети и на хостах с помощью системы обнаружения вторжений/системы предотвращения вторжений (IDS/IPS, DNS, netflow, RADIUS, DHCP, Syslog, DC AD)
- Мониторинг корпоративной инфраструктуры в режиме реального времени (Сеть: IDS/IPS, ОС: EDR/Antivirus Win/Lin, Приложения: WAF, DLP)
- Детектирование атак на канальном уровне (L2). ARP-spoofing, DHCP-snooping, VLAN-Hooping, STP-Attack, атака и обнаружение LLMNR/NBT-NS Poisoning
- Детектирование атак на сетевом уровне (L3). Внедрение фейкового маршрута OSPF
- Детектирование атак на транспортном уровне(L4). Атака tcp-hijacking
- Детектирование атак на сеансовом уровне (L5). RPC attack, SSL-Split
- Детектирование атак на уровне приложений (L7). DNS-Spoofing, SQLinjection, SMTP enumeration
- Обнаружение сканирования инфраструктуры
- Особенности обнаружения BruteForce атак с точки зрения анализа косвенных данных сетевых узлов
- Обнаружение эксплуатации популярных уязвимостей ОС (EternalBlue, Zerologon, любые)
- Заражение ВПО (почта, загрузки, мессенджеры)
- Прикладные протоколы и атаки на них (HTTP, FTP, SSH, SMTP, RDP, SMB)
- Типовые атаки на прикладные протоколы и ПО
- Обнаружение атак (Сбор событий)
- Способы и методы скрытия трафика. Особенности работы туннелирования (ICMP/DNS/SSH-тунели)
- Способы и методы обнаружения скрытых туннелей и Remote Administration Tools (rAdmin, TeamViewer etc.)
- Воркфлоу реагирования на инцидент
- Тактика реагирования на инцидент (Windows, Linux, Cloud, K8S)
- Координирование реагирования и устранения последствий
- Анализ по завершении инцидента
- Описание правил по реагированию на инциденты и создание плейбуков и ранбуков
- Координация исправления уязвимости
- Обследование ОС
- Работа с памятью
- Работа с журналами
- Изучение реестра
- Анализ файловой системы
- Ликвидация последствий инцидентов ИБ (восстановление файлов из памяти, резервные копии и т.д.)
- С чего начинать SOC и как развивать SOC?
- Добавление Threat Intelligence
Модель обучения
участник трека полностью погружается в профессиональную среду, в которой он в будущем сможет применить свои знания и навыки.
участник через собственный опыт (постояннные небольшие задачи) получает представление о том, что он умеет здесь и сейчас, а где — его точки роста. Преподаватель выступает в качестве наставника, который помогает расти в нужных направлениях и обучает эффективным стратегиям устранения ошибок.
строится на микропроектах, каждый из которых участник тренируется делать, используя актуальные рекомендации от преподавателя из профессионального опыта.
Требования к слушателям курса:
- Устанавливать операционные системы Debian Linux, Ubuntu Linux, CentOS
- Настраивать гипервизоры для работы с операционными системами семейства Linux
- Проводить начальную подготовку операционной системы для определенных задач (настройка пользователей, сети, SSH, необходимые ПО)
- Писать простые скрипты на bash и устанавливать их как сервисы (daemons)
- Настраивать параметры безопасности ОС Linux (межсетевой экран)
- Уметь настраивать окружение Active Directory и контроллер домена
- Уметь настраивать сервисы и политики DNS, File Shares, DHCP, GPO
- Уметь настраивать и управлять группами пользователей и отдельными пользователями
- Уметь управлять доменной инфраструктурой через консоли Powershell и cmd
- Иметь представление о взаимодействии компьютеров в сети (понимать работу протоколов IP, TCP, DNS, HTTP)
- Уметь управлять корпоративной сетью на базе Cisco
- Настраивать динамическую и статическую маршрутизацию в сети
- Настраивать VLAN и Trunk порты
FAQ — ответы на частозадаваемые вопросы
Рекомендуемые технические требования
для комфортного прохождения модуля и сохранения всех полученных материалов:
- Не менее 16 ГБ оперативной памяти
- Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 250 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
Все ответы




Гражданство?

Сколько вам полных лет?

В какой сфере вы работаете/учитесь?


Умеете ли вы работать с прикладными программами: MS Office, Windows Explorer, браузеры?

Вам знакомы такие сетевые модели, как OSI или TCP/IP?

Есть ли у вас опыт работы с системами виртуализации (VirtualBox, VMWare)?

Умеете ли вы работать с ОС Linux или ОС Windows при помощи терминальной оболочки?

Вы умеете программировать? Можете написать на языке python, powershell или каком-либо другом скрипт или мини-программу?
Заказать обратный звонок
Мы используем cookie
Используя наш сайт, вы соглашаетесь с использованием файлов cookie и сервисов сбора технических данных посетителей (IP-адресов, местоположения и др.) для обеспечения работоспособности и улучшения качества обслуживания.