5 дней10:00 – 16:00

Digital Forensics Analyst: Level 2

Практический онлайн-курс по проведению криминалистического анализа
зараженных компьютеров от экспертов Group-IB

О курсе

На данный момент нет причин полагать, что интенсивность и частота вредоносной активности и кибератак на компании пойдет на спад, поэтому тщательное расследование инцидентов информационной безопасности сейчас особенно важно. Последствия кибератаки могут быть разрушительными, однако тщательное и четкое реагирование на инцидент и его исследование позволяет снизить риск повторной атаки на компанию.

Программа интенсива Digital Forensics Analyst: уровень 2 рассчитана на пять дней и предполагает глубокое погружение в специфику трех основных элементов компьютерной криминалистики: методы криминалистического снятия данных, криминалистическую работу с памятью и криминалистику хостов.

Программа курса

Курс начнется с введения в текущую ситуацию в сфере кибербезопасности, включая недавние атаки и современные тенденции. Мы также рассмотрим основные принципы цифровой криминалистики и сбора данных.

Курс включает микс лекций и практических упражнений. Вы также получите доступ к инструментам, необходимым для выполнения заданий. Все инструменты будут из открытых источников, поэтому вы сможете применять их в своей ежедневной практике.

Тренеры покажут, как выполнить задания, после чего дадут возможность самостоятельно завершить работу. Такой метод поможет закрепить полученную информацию и даст возможность поделиться ею с коллегами.

День 1

Первый день курса посвящен текущей ситуации в кибербезопасности и последним тенденциям в этой области. Вы получите презентацию с подробным описанием принципов кибератак, тактик техник и процедур киберпреступников (ТТP), а также их мотивов и целей. Вы научитесь идентифицировать TTP и индикаторы компрометации из реальных отчетов по угрозам.

День 2

Понимание того, где искать цифровые доказательства — это первый шаг на пути к ускорению процесса расследования. Вы изучите основные источники цифровых доказательств, включая файловую систему, реестр и журналы событий. Мы также расскажем про инструменты, необходимые для обработки и анализа этих источников.

Часть дня мы посвятим обсуждению криминалистики хостов. Преподаватели курса расскажут о том, как создавать различные типы криминалистических копий и дампы оперативной памяти, какие источники артефактов на хосте наиболее важны и как обрабатывать и анализировать подобные артефакты. У вас также будет возможность самостоятельно создать криминалистические копии.

День 3

В третий день курса вы научитесь восстанавливать хронологию атак. Мы расскажем о самых важных артефактах, связанных с системой, реестром и журналами событий, а также о том, как их обрабатывать. Ваши находки позволят вам точно идентифицировать TTP атакующих.

День 4

Следующая тема — криминалистическая работа с памятью. Тренеры предоставят вам детальную информацию об анализе дампов памяти, техниках выявления аномалий в сетевых соединениях, активных процессах и их памяти. Вы также научитесь определять альтернативные пути нахождения энергозависимых данных в системах.

День 5

Последний день курса подразумевает самостоятельную работу. Вы получите криминалистический образ для анализа и извлечения артефактов. После этого вы будете решать задания и попробуете свои силы в решение двух наборов вопросов — простого и продвинутого уровней сложности. В заключение вас попросят соотнести инцидент с матрицей MITRE ATT&CK® и найти дополнительные артефакты, необходимые для составления полной картины инцидента.

По завершении теста мы обсудим результаты и продемонстрируем лучшие практики для решения подобных задач.

Для успешного прохождения курса слушателям желательно обладать следующими знаниями:

  • Навыки и опыт администрирования
  • Базовое понимание файловых систем, процессов проведения кибератак и принципов работы ВПО
  • Рекомендуется пройти курс Digital Forensics Analyst: уровень 1

После окончания курса вы сможете:

  • Понять методы криминалистического снятия данных и работы с памятью и хостами
  • Создавать криминалистические копии
  • Проводить анализ дампов памяти
  • Обрабатывать и анализировать артефакты на хосте и реконструировать тактики, техники и процедуры (TTP) атакующих
Для кого этот курс?
Технические специалисты с опытом в информационной безопасности
Специалисты по информационной безопасности

По итогам курса вы получите:

Видео лекций и практические материалы, используемые в ходе курса

Именной сертификат о прохождении обучающего курса Group-IB

Плакат с описанием основных артефактов и инструментов для их обработки

Ценный опыт и знания, которые вы можете сразу применять в работе

Почему Group-IB?

Опыт международных расследований

Обучение проводится на основе более 1200 успешных расследований за 17 лет работы в области кибербезопасности.

Интересные практические занятия

Обучение преимущественно состоит из практических заданий на основе реальных кейсов.

Практикующие эксперты

Обучение проводят действующие специалисты Group-IB, поэтому слушатели получают самую актуальную информацию из первых рук.

Актуальная программа курсов

Программа регулярно пополняется новыми кейсами из опыта Group-IB, поэтому всегда отражает последние тренды.

Индивидуальный подбор обучения

Свяжитесь с нами для получения консультации
по образовательным программам Group-IB