3 дня10:00 – 16:00

SOC Analyst

Практический курс по мониторингу событий ИБ, детектированию угроз и первичному реагированию на киберинциденты.

О курсе

Центры мониторинга и реагирования на киберугрозы находятся на передовой реагирования на инциденты. Команды SOC оперативно устанавливают, произошло ли ложноположительное срабатывание или же необходима эскалация инцидента с помощью знаний основ реагирования на инциденты, threat hunting, сетевой криминалистики и детонации вредоносного программного обеспечения (ВПО). Такой комплекс знаний бесценен, когда речь идет о чрезвычайной ситуации.

В трехдневном курсе SOC Analyst рассматриваются все вышеперечисленные аспекты работы сотрудника центра мониторинга и реагирования на киберугрозы.

Программа курса

Курс рассчитан на три дня. На занятиях рассматривается множество тем, в том числе основы реагирования на инциденты и работы центров мониторинга и реагирования на киберугрозы (SOC), категоризация индикаторов компрометации, формулирование гипотез, сетевая криминалистика и анализ ВПО.

В ходе каждого дня курса будет выделено время на практику вновь полученных навыков. Курс предназначен для начинающих специалистов в этой области, однако также будет полезен опытным профессионалам, так как поможет структурировать имеющиеся знания и навыки.

День 1

Первый день курса начнется с краткого введения в текущие тенденции в кибербезопасности, что позволит сформировать понимание того, какие типы угроз будут рассматриваться. Далее мы рассмотрим, как устроены центры мониторинга и реагирования на киберугрозы, какие функции они выполняют и как они взаимодействуют с другими отделами по защите информации. Мы покажем лучшие практики высокоэффективного центра SOC и расскажем о метриках и требованиях, необходимых для достижения наибольшей эффективности работы SOC (например, сроки реагирования и эскалации, время пребывания злоумышленника в системе).

Аналитики SOC выступают в роли первой линии защиты в случае инцидента информационной безопасности, поэтому в ходе курса вам объяснят основные принципы реагирования на инциденты, включая то, как оценить критичность инцидента и идентифицировать ложноположительное срабатывание. Тренеры предоставят вам инструменты и методы, необходимые для сбора данных. Они также покажут, как отличить качественные индикаторы компрометации.

Наконец, мы поговорим об охоте за угрозами и актуальности этого процесса для SOC. Вас научать применять научный подход (т.е. проверку гипотез) в рамках охоты за угрозами, а также расскажут о том, какие источники событий следует искать (где в системе найти дополнительную информацию, которая поможет вам в процессе охоты за угрозами).

День завершится нашей Hypogame, в ходе которой вы сформулируете свои собственные гипотезы и протестируете их совместно с остальными участниками и тренером.

День 2

Другим ключом к овладению навыками аналитика SOC является базовое понимание сетевой криминалистики. Вам расскажут об основных сетевых протоколах, полях заголовков, принципах работы, а также о том, как они могут использоваться во время атак. Тренер объяснит специфику процесса сбора и анализа трафика и то, как искать, извлекать и анализировать артефакты из сетевого трафика. После вам предложат выполнить упражнения по анализу дампов сетевого трафика.

Конец дня будет посвящен основным принципам систем обнаружения вторжений на примере Suricata, а также мы расскажем, как писать правила для Suricata и аналогичных систем.

День 3

Чем больше ракурсов, с которых вы можете рассматривать инцидент, тем лучше вы будете понимать его критичность и масштаб. Для этого необходимо знать основы поиска и анализа артефактов на уровне хоста. Третий день курса начнется именно с этой темы. Вы узнаете об основных источниках артефактов и о том, как проводить экспресс-анализ систем на основе Windows.

Следующим шагом в рамках обучения станет изучение песочниц и объяснение того, как их использовать для выявления вредоносной активности. Вы изучите основы детонации ВПО и попрактикуетесь в запуске ВПО в контролируемой среде для получения индикаторов компрометации. Тренер также предоставит рекомендации по тому, как извлекать полезные индикаторы компрометации из отчетов песочниц.

Атакующие становятся искуснее и придумывают новые способы обхода песочниц и других технологий. Чтобы вы оставались на шаг впереди злоумышленников, мы также расскажем о наиболее распространенных методах обхода песочниц.

Для успешного прохождения курса слушателям желательно обладать базовым опытом в области информационных технологий или информационной безопасности.

После окончания курса вы сможете:

  • Проводить мониторинг событий ИБ, используя различные классы решений, чтобы обеспечить безопасность организации
  • Оперативно оценивать инцидент информационной безопасности и определять, необходимо ли передавать задачу команде реагирования или помечать инцидент как ложноположительное срабатывание
Для кого этот курс?
Специалисты по мониторингу киберугроз
Технические специалисты с опытом в ИБ
Руководители служб безопасности и отделов информационных технологий

По итогам курса вы получите:

Файлы и материалы, использованные во время обучения

Памятку с описанием основных артефактов и инструментов их анализа

Именной сертификат о прохождении обучающего курса Group-IB

Практические навыки и знания, которые вы сможете сразу использовать в работе

Технические требования

Для эффективного прохождения курса вам потребуется компьютер, соответствующий следующим критериям:

Оборудование

  • Процессор 64-bit 2.0+GHz
  • Intel-VT или AMD-V
  • ОЗУ: 8+ GB
  • Права локального администратора

Программное обеспечение (ПО)

  • Последняя версия  Windows 10
  • Установленное ПО VMware Workstation Pro 15.5.X+

Дополнительные требования будут отправлены по электронной почте перед началом курса.

Все материалы курса будут доступны на Google Диске. Если у вас нет учетной записи Gmail, наш тренер поможет вам ее создать перед началом курса.

Почему Group-IB?

Опыт международных расследований

Обучение проводится на основе более 1200 успешных расследований за 17 лет работы в области кибербезопасности.

Интересные практические занятия

Обучение преимущественно состоит из практических заданий на основе реальных кейсов.

Практикующие эксперты

Обучение проводят действующие специалисты Group-IB, поэтому слушатели получают самую актуальную информацию из первых рук.

Актуальная программа курсов

Программа регулярно пополняется новыми кейсами из опыта Group-IB, поэтому всегда отражает последние тренды.

Индивидуальный подбор обучения

Свяжитесь с нами для получения консультации
по образовательным программам Group-IB