Курс
Аналитик SOC (Security Operations Center Analyst)

Цели курса:

  • Знакомство с теорией функционирования подразделений SOC
  • Знакомство с лучшими практиками по построению систем реагирования и мониторинга инцидентов информационной безопасности
  • Знакомство с типовыми векторами атак на: сетевые протоколы уровней L2,L3,L4,L7, операционные системы, веб-приложения
  • Освоение подходов и практик по задачам Центров управления и мониторинга безопасности (Security Operations Center)
  • Освоение инструментов для обнаружения кибератак на корпоративную инфраструктуру
  • Освоение тактик реагирования на инциденты ИБ в различных информационных системах
Записаться на обучение

Код курса

B-228

Формат обучения

Виртуальный класс

Стоимость для физических лиц

49 000 рублей

Аудитория курса:

Начинающие специалисты SOC 1 - 2 линия

Администраторы локальных ИТ-инфраструктур

Администраторы безопасности

Начинающие руководители SOC центров

Профессиональные задачи, которые мы научим решать:

Настройка систем мониторинга и логирования событий

Применение системы обнаружения и предотвращение вторжений (IDS/IPS)

Настройка агрегирования данных с конечных точек и построение корреляции инцидентов ИБ

Расследование и верификация инцидентов информационной безопасности в корпоративной ИТ-инфраструктуре, в т.ч. по исследование скрытых каналы передачи данных (ICMP/DNS/SSH-тунели).

Программа обучения

10 занятия

40 ак. часов

Security Operation Center (SOC)
  • Составные части SOC
  • Основные принципы работы SOC (процессы, плейбуки, ранбуки)
  • SOC роли и обязанности участников
  • Инвентаризация серверов/сервисов. Списки ответсвенных
  • Обработка алертов, эскалации, политики компании
  • SIEM Системы (общая архитектура: агенты, BD, корреляторы)
  • Инструменты автоматизации ИБ (UBA/UEBA, SIEM/SOAR, DLP, FW, WAF, IDS, IPS, Endpoint Security (EDR), Antivirus, XDR; CORTEX, n8n, pytest, IRP, TI)
Сбор и анализ данных
  • Данные: как собирать, как нормализовать. Нейминг полей, модель данных
  • Агрегирование журналов через SIEM
  • Агрегирование данных конечных точек
  • Vector, kafka. Путь лога. Отказоустойчивость архитектуры
  • ELK стэк: Elastic , Kibana, Logstash
  • Сбор событий, артефактов. Форензика
  • Корреляция событий. Подходы создания правил. Примеры конвертации информациии из TI в алерты
Мониторинг инцидентов информационной безопасности
  • Подготовка набора инструментов для дальнейшего сбора событий
  • SIEM мониторинг и корреляция
  • Мониторинг и логирование событий в сети и на хостах с помощью системы обнаружения вторжений/системы предотвращения вторжений (IDS/IPS, DNS, netflow, RADIUS, DHCP, Syslog, DC AD)
  • Мониторинг корпоративной инфраструктуры в режиме реального времени (Сеть: IDS/IPS, ОС: EDR/Antivirus Win/Lin, Приложения: WAF, DLP)
Атаки и выявление атак на сетевом уровне
  • Детектирование атак на канальном уровне (L2). ARP-spoofing, DHCP-snooping, VLAN-Hooping, STP-Attack, атака и обнаружение LLMNR/NBT-NS Poisoning
  • Детектирование атак на сетевом уровне (L3). Внедрение фейкового маршрута OSPF
  • Детектирование атак на транспортном уровне(L4). Атака tcp-hijacking
  • Детектирование атак на сеансовом уровне (L5). RPC attack, SSL-Split
  • Детектирование атак на уровне приложений (L7). DNS-Spoofing, SQLinjection, SMTP enumeration
Анализ и выявление атак первоначального доступа к ОС
  • Обнаружение сканирования инфраструктуры
  • Особенности обнаружения BruteForce атак с точки зрения анализа косвенных данных сетевых узлов
  • Обнаружение эксплуатации популярных уязвимостей ОС (EternalBlue, Zerologon, любые)
  • Заражение ВПО (почта, загрузки, мессенджеры)
Атаки и выявление атак на приложения
  • Прикладные протоколы и атаки на них (HTTP, FTP, SSH, SMTP, RDP, SMB)
  • Типовые атаки на прикладные протоколы и ПО
  • Обнаружение атак (Сбор событий)
Обнаружение сложных атак внутри офисной и серверной инфраструктуры
  • Способы и методы скрытия трафика. Особенности работы туннелирования (ICMP/DNS/SSH-тунели)
  • Способы и методы обнаружения скрытых туннелей и Remote Administration Tools (rAdmin, TeamViewer etc.)
Реагирование на инциденты информационной безопасности
  • Воркфлоу реагирования на инцидент
  • Тактика реагирования на инцидент (Windows, Linux, Cloud, K8S)
  • Координирование реагирования и устранения последствий
  • Анализ по завершении инцидента
  • Описание правил по реагированию на инциденты и создание плейбуков и ранбуков
  • Координация исправления уязвимости
Расследование инцидента компьютерной безопасности
  • Обследование ОС
  • Работа с памятью
  • Работа с журналами
  • Изучение реестра
  • Анализ файловой системы
Устранение последствий инцидента компьютерной безопасности и обсуждение перспектив развития
  • Ликвидация последствий инцидентов ИБ (восстановление файлов из памяти, резервные копии и т.д.)
  • С чего начинать SOC и как развивать SOC?
  • Добавление Threat Intelligence
Записаться на обучение

Модель обучения

  • Иммерсивное обучение:
  • участник трека полностью погружается в профессиональную среду, в которой он в будущем сможет применить свои знания и навыки.

  • Метод гарантированной ошибки:
  • участник через собственный опыт (постояннные небольшие задачи) получает представление о том, что он умеет здесь и сейчас, а где — его точки роста. Преподаватель выступает в качестве наставника, который помогает расти в нужных направлениях и обучает эффективным стратегиям устранения ошибок.

  • Проектное обучение:
  • строится на микропроектах, каждый из которых участник тренируется делать, используя актуальные рекомендации от преподавателя из профессионального опыта.

    01   / 05

    Требования к слушателям курса:

    Linux системы
    • Устанавливать операционные системы Debian Linux, Ubuntu Linux, CentOS
    • Настраивать гипервизоры для работы с операционными системами семейства Linux
    • Проводить начальную подготовку операционной системы для определенных задач (настройка пользователей, сети, SSH, необходимые ПО)
    • Писать простые скрипты на bash и устанавливать их как сервисы (daemons)
    • Настраивать параметры безопасности ОС Linux (межсетевой экран)
    Windows системы
    • Уметь настраивать окружение Active Directory и контроллер домена
    • Уметь настраивать сервисы и политики DNS, File Shares, DHCP, GPO
    • Уметь настраивать и управлять группами пользователей и отдельными пользователями
    • Уметь управлять доменной инфраструктурой через консоли Powershell и cmd
    Компьютерные сети
    • Иметь представление о взаимодействии компьютеров в сети (понимать работу протоколов IP, TCP, DNS, HTTP)
    • Уметь управлять корпоративной сетью на базе Cisco
    • Настраивать динамическую и статическую маршрутизацию в сети
    • Настраивать VLAN и Trunk порты
    Пройденное входное тестирование на 80% и более

    Записаться на обучение

    Тип клиента
    • Юридическое лицо
    • Физическое лицо

    FAQ — ответы на частозадаваемые вопросы

    Требования к программному обеспечению?

    Рекомендуемые технические требования

    для комфортного прохождения модуля и сохранения всех полученных материалов:

    • Не менее 16 ГБ оперативной памяти
    • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
    • Жесткий диск SSD со свободным местом не менее 250 ГБ
    • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
    • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
    • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

    Все ответы

    Получить консультацию

    Спасибо,
    менеджер свяжеться с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле