Материал данного курса позволит слушателям изучить процессы, техники и инструменты мониторинга событий и инцидентов кибербезопасности. Материал курса охватывает также вопросы организации процессов мониторинга событий и инцидентов кибербезопасности и их встраивания в общую архитектуру корпоративной кибербезопасности.
Аудитория курса:
Инженеры, занимающие мониторингом и обработкой событий и инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.
Предварительные требования к аудитории:
Необходимо обладать знаниями общей кибербезопасности на уровне курса ANT0000. Кроме того, необходимо обладать знаниями о работе сетей TCP/IP на уровне курса ANT-N101, а также знаниями об операционных системах на уровне курсов ANT-OW101 и ANT-OL101.
Содержание курса:
- Модуль 1 – Цикл жизни кибератак.
- Классификация кибератак.
- Этапа проведения кибератаки.
- Артефакты кибератак и их взаимосвязь.
- Модуль 2 – Методология мониторинга событий и инцидентов.
- События и инциденты кибербезопасности.
- Процессы мониторинга.
- Инструменты и инфраструктура мониторинга.
- Операционные метрики для мониторинга.
- Модуль 3 – Мониторинг сетевой инфраструктуры.
- Log’и и информация о сетевой активности.
- Сбор и анализ сетевого трафика.
- Статистические данные сетевой активности.
- Централизованные и распределенные системы сетевого мониторинга.
- Развертывание и поддержка системы сетевого мониторинга.
- Модуль 4 – Мониторинг конечных устройств.
- Политики мониторинга и log’и Windows.
- Подсистема аудита Windows.
- Развертывание и поддержка мониторинга Windows.
- Настройки мониторинга и log’и Linux.
- Подсистема аудита Linux.
- Развертывание и поддержка мониторинга Linux.
- Модуль 5 – Мониторинг приложений.
- Использование флагов и маяков в IT-инфраструктуре для мониторинга.
- Мониторинг SMTP.
- Мониторинг Web-приложений.
- Мониторинг баз данных.
- Мониторинг облачных приложений.
- Модуль 6 – Мониторинг событий и инцидентов в архитектуре корпоративной кибербезопасности.
- Архитектура корпоративной кибербезопасности.
- Интеграция систем мониторинга.
- SIEM-системы.
- Дифференция событий и инцидентов кибербезопасности.
- Подтверждение инцидентов кибербезопасности.
- Обработка инцидентов кибербезопасности.
- Цифровая криминалистика.