Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований цифровых данных о сетевой активности корпоративных систем и приложений. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.
Аудитория курса:
Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.
Предварительные требования к аудитории:
Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и ANT-OL101, а также знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401.
Содержание курса:
- Модуль 1 – Цикл жизни кибератак.
- Классификация кибератак.
- Этапа проведения кибератаки.
- Артефакты кибератак и их взаимосвязь.
- Модуль 2 – Методология цифровой криминалистики.
- Процесс проведения криминалистических исследований.
- Инструменты цифровой криминалистики.
- Принципы обработки удаленных и «дефектных» данных.
- Восстановление хронологии кибератаки.
- Формирование и анализ индикаторов компрометации в цифровых системах.
- Модуль 3 – Сбор сетевого трафика.
- Принципы сбора сетевого трафика в корпоративной инфраструктуре.
- «Зеркалирование» сетевого трафика.
- Хранение собранного сетевого трафика.
- Модуль 4 – Анализ сетевого трафика с помощью Wireshark’а.
- Архитектура и возможности Wireshark’а.
- Препроцессоры.
- Фильтры.
- Компоненты Mate.
- Обнаружение и анализ сетевых атак и вредоносной сетевой активности в dump’ах трафика.
- Модуль 5 – Анализ вредоносной сетевой активности.
- Артефакты вредоносной сетевой активности.
- Обнаружение вредоносной сетевой активности средствами ОС Windows.
- Обнаружение вредоносной сетевой активности средствами Linux/macOS.
- Обнаружение вредоносной сетевой активности средствами HIPS/HIDS.
- Восстановление хронологии кибератаки.
- Модуль 6 – Статистический анализ трафика.
- Принципы и методы статистического анализа.
- «Стандартные» алгоритмы.
- Алгоритмы «Big Data».
- Сбор и анализ статистической информации. Netflow.
- Модуль 7 – Сбор и анализ log’в сетевой активности.
- Принципы работы подсистемы создания log’ов.
- Log’и событий на сетевых устройствах.
- Log’и сетевых событий серверных систем и приложений.
- Log’и сетевых событий пользовательских систем.
- Централизованный сбор и хранение log’ов сетевых событий.
- Анализ log’ов сетевых событий.
- Модуль 8 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.
- Архитектура корпоративной кибербезопасности
- Мониторинг событий и инцидентов кибербезопасности.
- Реагирование на события и инциденты кибербезопасности.
- Организация процессов цифровой криминалистики.
- Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.