Курс
Аналитик SOC (Security Operations Center Analyst)
Цели курса:
- Знакомство с теорией функционирования подразделений SOC
- Знакомство с лучшими практиками по построению систем реагирования и мониторинга инцидентов информационной безопасности
- Знакомство с типовыми векторами атак на: сетевые протоколы уровней L2,L3,L4,L7, операционные системы, веб-приложения
- Освоение подходов и практик по задачам Центров управления и мониторинга безопасности (Security Operations Center)
- Освоение инструментов для обнаружения кибератак на корпоративную инфраструктуру
- Освоение тактик реагирования на инциденты ИБ в различных информационных системах
Код курса
B-228
Формат обучения
Виртуальный класс
Стоимость для физических лиц
49 000 рублей
Аудитория курса:
Профессиональные задачи, которые мы научим решать:
Настройка систем мониторинга и логирования событий
Применение системы обнаружения и предотвращение вторжений (IDS/IPS)
Настройка агрегирования данных с конечных точек и построение корреляции инцидентов ИБ
Расследование и верификация инцидентов информационной безопасности в корпоративной ИТ-инфраструктуре, в т.ч. по исследование скрытых каналы передачи данных (ICMP/DNS/SSH-тунели).
Программа обучения
10 занятия
40 ак. часов
Security Operation Center (SOC)
- Составные части SOC
- Основные принципы работы SOC (процессы, плейбуки, ранбуки)
- SOC роли и обязанности участников
- Инвентаризация серверов/сервисов. Списки ответсвенных
- Обработка алертов, эскалации, политики компании
- SIEM Системы (общая архитектура: агенты, BD, корреляторы)
- Инструменты автоматизации ИБ (UBA/UEBA, SIEM/SOAR, DLP, FW, WAF, IDS, IPS, Endpoint Security (EDR), Antivirus, XDR; CORTEX, n8n, pytest, IRP, TI)
Сбор и анализ данных
- Данные: как собирать, как нормализовать. Нейминг полей, модель данных
- Агрегирование журналов через SIEM
- Агрегирование данных конечных точек
- Vector, kafka. Путь лога. Отказоустойчивость архитектуры
- ELK стэк: Elastic , Kibana, Logstash
- Сбор событий, артефактов. Форензика
- Корреляция событий. Подходы создания правил. Примеры конвертации информациии из TI в алерты
Мониторинг инцидентов информационной безопасности
- Подготовка набора инструментов для дальнейшего сбора событий
- SIEM мониторинг и корреляция
- Мониторинг и логирование событий в сети и на хостах с помощью системы обнаружения вторжений/системы предотвращения вторжений (IDS/IPS, DNS, netflow, RADIUS, DHCP, Syslog, DC AD)
- Мониторинг корпоративной инфраструктуры в режиме реального времени (Сеть: IDS/IPS, ОС: EDR/Antivirus Win/Lin, Приложения: WAF, DLP)
Атаки и выявление атак на сетевом уровне
- Детектирование атак на канальном уровне (L2). ARP-spoofing, DHCP-snooping, VLAN-Hooping, STP-Attack, атака и обнаружение LLMNR/NBT-NS Poisoning
- Детектирование атак на сетевом уровне (L3). Внедрение фейкового маршрута OSPF
- Детектирование атак на транспортном уровне(L4). Атака tcp-hijacking
- Детектирование атак на сеансовом уровне (L5). RPC attack, SSL-Split
- Детектирование атак на уровне приложений (L7). DNS-Spoofing, SQLinjection, SMTP enumeration
Анализ и выявление атак первоначального доступа к ОС
- Обнаружение сканирования инфраструктуры
- Особенности обнаружения BruteForce атак с точки зрения анализа косвенных данных сетевых узлов
- Обнаружение эксплуатации популярных уязвимостей ОС (EternalBlue, Zerologon, любые)
- Заражение ВПО (почта, загрузки, мессенджеры)
Атаки и выявление атак на приложения
- Прикладные протоколы и атаки на них (HTTP, FTP, SSH, SMTP, RDP, SMB)
- Типовые атаки на прикладные протоколы и ПО
- Обнаружение атак (Сбор событий)
Обнаружение сложных атак внутри офисной и серверной инфраструктуры
- Способы и методы скрытия трафика. Особенности работы туннелирования (ICMP/DNS/SSH-тунели)
- Способы и методы обнаружения скрытых туннелей и Remote Administration Tools (rAdmin, TeamViewer etc.)
Реагирование на инциденты информационной безопасности
- Воркфлоу реагирования на инцидент
- Тактика реагирования на инцидент (Windows, Linux, Cloud, K8S)
- Координирование реагирования и устранения последствий
- Анализ по завершении инцидента
- Описание правил по реагированию на инциденты и создание плейбуков и ранбуков
- Координация исправления уязвимости
Расследование инцидента компьютерной безопасности
- Обследование ОС
- Работа с памятью
- Работа с журналами
- Изучение реестра
- Анализ файловой системы
Устранение последствий инцидента компьютерной безопасности и обсуждение перспектив развития
- Ликвидация последствий инцидентов ИБ (восстановление файлов из памяти, резервные копии и т.д.)
- С чего начинать SOC и как развивать SOC?
- Добавление Threat Intelligence
Модель обучения
участник трека полностью погружается в профессиональную среду, в которой он в будущем сможет применить свои знания и навыки.
участник через собственный опыт (постояннные небольшие задачи) получает представление о том, что он умеет здесь и сейчас, а где — его точки роста. Преподаватель выступает в качестве наставника, который помогает расти в нужных направлениях и обучает эффективным стратегиям устранения ошибок.
строится на микропроектах, каждый из которых участник тренируется делать, используя актуальные рекомендации от преподавателя из профессионального опыта.
Требования к слушателям курса:
Linux системы
- Устанавливать операционные системы Debian Linux, Ubuntu Linux, CentOS
- Настраивать гипервизоры для работы с операционными системами семейства Linux
- Проводить начальную подготовку операционной системы для определенных задач (настройка пользователей, сети, SSH, необходимые ПО)
- Писать простые скрипты на bash и устанавливать их как сервисы (daemons)
- Настраивать параметры безопасности ОС Linux (межсетевой экран)
Windows системы
- Уметь настраивать окружение Active Directory и контроллер домена
- Уметь настраивать сервисы и политики DNS, File Shares, DHCP, GPO
- Уметь настраивать и управлять группами пользователей и отдельными пользователями
- Уметь управлять доменной инфраструктурой через консоли Powershell и cmd
Компьютерные сети
- Иметь представление о взаимодействии компьютеров в сети (понимать работу протоколов IP, TCP, DNS, HTTP)
- Уметь управлять корпоративной сетью на базе Cisco
- Настраивать динамическую и статическую маршрутизацию в сети
- Настраивать VLAN и Trunk порты
Пройденное входное тестирование на 80% и более
FAQ — ответы на частозадаваемые вопросы
Требования к программному обеспечению?
Рекомендуемые технические требования
для комфортного прохождения модуля и сохранения всех полученных материалов:
- Не менее 16 ГБ оперативной памяти
- Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 250 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
Все ответы
Получить консультацию
Гражданство?
Сколько вам полных лет?
В какой сфере вы работаете/учитесь?
Умеете ли вы работать с прикладными программами: MS Office, Windows Explorer, браузеры?
Вам знакомы такие сетевые модели, как OSI или TCP/IP?
Есть ли у вас опыт работы с системами виртуализации (VirtualBox, VMWare)?
Умеете ли вы работать с ОС Linux или ОС Windows при помощи терминальной оболочки?
Вы умеете программировать? Можете написать на языке python, powershell или каком-либо другом скрипт или мини-программу?
Спасибо,
менеджер свяжеться с вами в ближайшее время
Подпишитесь на нас в социальных сетях
Спасибо,
за регистрацию на вебинар
Подпишитесь на нас в социальных сетях