О курсе

Представьте масштабный инцидент, затронувший ключевую инфраструктуру организации. Несколько хостов с важнейшими артефактами больше недоступны. Нет файлов event logs, следов исполнения приложений и метаданных файловых систем. И все же вы хотите найти следы запуска вредоносного ПО и точку входа. Сетевая криминалистика способна помочь. Однако…Как оперативно проанализировать трафик и логи? Куда смотреть? Что искать?

Ответить на эти вопросы поможет новый курс Group-IB.

Он посвящен 2 основным вопросам:

  • Что необходимо анализировать? Как собрать данные для эффективного анализа?
  • Как проанализировать данные? Что для этого необходимо?

Навыки сетевой криминалистики понадобятся не только для расследования сложных инцидентов ИБ. Они могут применяться для проактивной защиты организации и позволяют значительно обогатить процессы криминалистики хостов, что далеко не избыточное преимущество для команды специалистов ИБ.

Ключевые темы:

  • Типы сетевых цифровых доказательств
  • «Вызовы» для крупных инфраструктур
  • Методы сбора сетевых артефактов
  • Open-source решения по мониторингу сетевого трафика
  • Техники анализа сетевого трафика
  • Обзор источников threat intelligence для обогащения сетевых артефактов

После окончания курса вы сможете:

  • Проводить сбор сетевых цифровых доказательств
  • Расследовать инциденты разной сложности при помощи сетевых артефактов
  • Правильно применять данные киберразведки в рамках сетевой криминалистики

Для кого этот курс?

  • Специалисты ИБ
  • Специалисты по реагированию на инцидент
  • Аналитики SOC/CERT
  • Компьютерные криминалисты

Навыки для успешного прохождения курса:

  • Знание сетевых уровней, протоколов, полей заголовков
  • Способность объяснить, что происходит после запроса google.com в браузере
  • Базовые знания языков запросов – Kibana Query Language, логические операторы.

Программа курса

День 1: теория, демонстрация, практика

День начинается с обзора основ сетевой криминалистики. Тренеры расскажут про 4 этапа процесса исследования, типы сетевых доказательств, способы их извлечения, а также техники анализа трафика. Для обогащения процесса исследования будут использованы источники киберразведывательных данных.

Одно из практических заданий в этот день – расследование инцидента на базе алертов IDS\IPS. День завершится обсуждением проблем, с которыми могут столкнуться специалисты в рамках исследования сетевых артефактов, и способов их решения.

День 2: теория, демонстрация, практика

Второй день начнется с основ мониторинга событий на базе open-source стека ELK (Elasticsearch, Logstash, Kibana). Слушатели проведут расследование инцидента, используя лишь NetFlow, web access логи и логи proxy сервера.