О курсе

Blue Team аналитики – специалисты, решающие целый комплекс разносторонних задач. Их роль – мониторить активность в сети организации, оперативно определять инциденты и снабжать команду актуальными данными об угрозах. Специалисты могут выполнять данные функции благодаря знаниям и области реагирования и локализации инцидентов, цифровой криминалистики, проактивного поиска угроз и вирусного анализа. Находясь на передовой отражения кибератак, такие специалисты обладают актуальными знаниями о ландшафте киберугроз и постоянно обновляют базу знаний о современных трендах кибербезопасности.

Трехдневный курс Group-IB посвящен каждой из вышеупомянутых функций Blue Team команды.

Ключевые темы:

  • Основы менеджмента ИБ и функции SOC
  • Обзор классов решений ИБ
  • Мониторинг и детектирование: сигнатуры и правила
  • Реагирование на инциденты: анализ сетевого траффика и данных на хосте
  • Основы вирусного анализа
  • Основы киберразведки и проактивного поиска угроз

После окончания курса вы сможете:

  • Мониторить события с установленных решений
  • Детектировать инцидент и выявлять его признаки
  • Поддерживать процессы киберразведки и проактивного поиска угроз

Для кого этот курс:

  • Специалисты с опытом в ИБ
  • Практикующие специалисты ИБ/ИТ
  • Команды SOC/CERT

Навыки для успешного прохождения курса:

  • Понимание основ функционирования современных решений ИБ
  • Базовые знания теории киберпреступлений
  • Опыт в области кибербезопасности

Программа курса

День 1
arrow_drop_down
Теория
Демонстрация
Практика

Первый день курса начнется с краткого введения в процессы моделирование киберугроз, чтобы определить основные этапы типовой кибератаки и техники, используемые атакующими. Далее, мы рассмотрим, как построены процессы ИБ, как функционирует SOC и как он взаимодействует с другими командами. Тренеры проведут обзор популярных классов ИБ решений: NTA, IDS/IPS, EDR, SIEM, и TI.

Первый процесс обеспечения ИБ, который мы будем обсуждать в рамках данного курса – мониторинг событий. Мы поговорим о структуре алертов, о ложноположительных срабатываниях и попрактикуемся в использовании некоторых утилит для разработки детектирующей логики – Magma и Sigma.

День 2
arrow_drop_down
Теория
Демонстрация
Практика

Аналитики Blue Team и SOC выступают в роли первой линии защиты в случае инцидента информационной безопасности, поэтому в ходе курса вам объяснят основные принципы реагирования на инциденты, включая то, как оценить критичность инцидента и эскалировать обработку инцидента. Тренеры предоставят вам инструменты и методы, необходимые для сбора данных, экспресс-анализа хоста и сетевого траффика и создания YARA правил. Они также покажут, как отличить качественные индикаторы компрометации.

День завершится практическим заданием по анализу копии данных, собранных с хоста, задействованного в инциденте. Слушателям предложат самостоятельно найти важные артефакты, реконструировать хронологию событий и разработать план по ликвидации последствий и восстановлению.

День 3
arrow_drop_down
Теория
Демонстрация
Практика

Понимание функций и анализа ВПО – основа для защиты от современных атак. Поэтому следующим шагом в рамках обучения станет изучение песочниц и объяснение того, как их использовать для выявления вредоносной активности. Вы изучите основы детонации ВПО и попрактикуетесь в запуске ВПО в контролируемой среде для получения индикаторов компрометации. Тренер также предоставит рекомендации по тому, как извлекать полезные индикаторы компрометации из отчетов песочниц.

Наконец, мы поговорим об охоте за угрозами и актуальности этого процесса для SOC. Вас научать применять научный подход (т.е. проверку гипотез) в рамках охоты за угрозами, а также расскажут о том, какие источники событий следует искать (где в системе найти дополнительную информацию, которая поможет вам в процессе охоты за угрозами).

Курс завершится обзором процессов Cyber Threat Intelligence, которые являются основной базой знаний для достижения целей, обсуждаемых в рамках данного курса. Тренеры поделятся примерами полезных источников данных, утилит и примеров применения технологии киберразведки.