4 дня10:00 – 16:00

Threat Hunter

Практический курс по проактивному поиску скрытых
недетектируемых угроз в организации

О курсе

Threat hunting становится важнейшим элементом работы любой службы ИБ. Чтобы сократить время нахождения злоумышленников в сети незамеченными, охотники за угрозами применяют научный подход, выдвигая и проверяя гипотезы о поведении атакующих. Специалисты по threat hunting не опираются на обнаруженные ранее индикаторы компрометации — вместо этого они формулируют гипотезы на основании глубоких знаний о тактиках, техниках и процедурах атакующих (TTP) и личного опыта реагирования на инциденты. Такой проактивный подход позволяет ИБ-специалистам заставать злоумышленников врасплох и предотвращать киберугрозы.

На курсе Threat Hunter мы рассказываем, из чего складывается компетентность охотника за угрозами и какие техники он использует для выдвижения успешных гипотез.

Программа курса

Курс Threat Hunter рассчитан на четыре дня. За это время вы научитесь выдвигать успешные гипотезы, применять матрицу MITRE ATT&CKⓇ, использовать возможности компьютерной криминалистики и анализа вредоносного кода в рамках проактивного поиска угроз, а также проводить threat hunting в масштабах предприятия.

Курс предназначен для начинающих специалистов в этой области, однако также будет полезен опытным профессионалам, так как поможет структурировать имеющиеся знания и навыки.

День 1

Охота за угрозами — одна из самых главных тенденций в кибербезопасности, но в чем конкретно она заключается? Что подразумевает такая работа и какое место занимает охотник за угрозами в экосистеме информационной безопасности? Ответы на эти и другие вопросы вы узнаете в начале первого дня.

Далее мы рассмотрим основные техники и модели, используемые современными специалистами по проактивному поиску угроз, и узнаем, как применять научные методы (например, тестирование гипотез) в рамках threat hunting. Кроме того, вы научитесь применять и максимально эффективно использовать матрицу MITRE ATT&CKⓇ, а понимание того, как просматривать и толковать информацию из открытых источников позволит вам формулировать более точные гипотезы и чаще выявлять деятельность злоумышленников.

День 2

Анализ ВПО может быть ключом к раскрытию действий злоумышленников. В ходе второго дня курса вы узнаете, что такое песочница и как ее использовать для динамического анализа. Вы узнаете, как осуществлять детонацию ВПО в контролируемой среде и сразу же получите возможность опробовать этот метод на практике.

Второй день курса завершится обсуждением средств, применяемых для анализа вредоносных документов и скриптов. Мы также расскажем о сервисах и инструментах для обогащения процесса анализа ВПО дополнительной информацией, что позволит вам еще на шаг приблизиться к обнаружению злоумышленника.

День 3

Третий день начнется с обсуждения криминалистических методов, наиболее полезных и применимых для threat hunting. После этого вы узнаете, как идентифицировать нужные события в журналах событий Windows и напрямую взаимодействовать с удаленными узлами.

Далее в ходе занятия мы проведем обзор LOLBAS и Sysmon и расскажем, как использовать Sysmon для организации процесса журналирования в процессе охоты за угрозами. В конце дня у вас будет возможность попрактиковаться в анализе последовательностей событий, используя этот инструмент.

День 4

К четвертому дню вы уже научитесь проводить threat hunting на одном хосте. Однако в реальных условиях охота за угрозами зачастую предполагает анализ десятков хостов одновременно. Последний день курса Threat Hunter будет посвящен погружению в реальный процесс охоты за угрозами. Вы получите инструменты для анализа и сбора логов в масштабах предприятия, а также сможете попрактиковаться в создании гипотез и их проверке на основе данных MITRE ATT&CKⓇ.

Для успешного прохождения курса слушателям желательно обладать:
  • Пониманием сетей и сетевых технологий
  • Опытом и навыками работы в области административных инфраструктур
  • Знаниями структуры файловых систем
  • Пониманием того, как проводятся кибератаки
  • Базовыми знаниями функционирования вредоносного программного обеспечения (ВПО)

После окончания курса вы сможете:

  • Выявлять аномалии в сетевой инфраструктуре
  • Понимать распространенные тактики, техники и процедуры злоумышленников
  • Разбираться в основах компьютерной криминалистики и анализа вредоносного кода
  • Проверять гипотезы и находить новые индикаторы компрометации для скрытых угроз
Для кого этот курс?
Технические специалисты с опытом в ИБ
Специалисты в области информационной безопасности
Специалисты по threat hunting
Эксперты в области информационной безопасности

По итогам курса вы получите:

Видео лекций и практические материалы, используемые в ходе курса

Именной сертификат о прохождении обучающего курса Group-IB

Практические сведения по анализу ВПО и знания о том, как они применяются в информационной безопасности

Ценный опыт и информацию, которые вы можете использовать в своей профессиональной деятельности

Технические требования

Для эффективного прохождения курса вам потребуется компьютер, соответствующий следующим критериям:

Оборудование

  • Процессор 64-bit 2.0+GHz
  • Intel-VT или AMD-V
  • ОЗУ: 8+ GB
  • Права локального администратора

Программное обеспечение (ПО)

  • Последняя версия  Windows 10
  • Установленное ПО VMware Workstation Pro 15.5.X+

Дополнительные требования будут отправлены по электронной почте перед началом курса.

Все материалы курса будут доступны на Google Диске. Если у вас нет учетной записи Gmail, наш тренер поможет вам ее создать перед началом курса.

Почему Group-IB?

Опыт международных расследований

Обучение проводится на основе более 1200 успешных расследований за 17 лет работы в области кибербезопасности.

Интересные практические занятия

Обучение преимущественно состоит из практических заданий на основе реальных кейсов.

Практикующие эксперты

Обучение проводят действующие специалисты Group-IB, поэтому слушатели получают самую актуальную информацию из первых рук.

Актуальная программа курсов

Программа регулярно пополняется новыми кейсами из опыта Group-IB, поэтому всегда отражает последние тренды.

Индивидуальный подбор обучения

Свяжитесь с нами для получения консультации
по образовательным программам Group-IB