Материал данного курса позволит слушателям изучить процессы, техники и инструменты обработки инцидентов кибербезопасности. Материал курса охватывает также вопросы организации процессов обработки инцидентов кибербезопасности и их встраивания в общую архитектуру корпоративной кибербезопасности.
Аудитория курса:
Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.
Предварительные требования к аудитории:
Необходимо обладать знаниями о мониторинге событий и инцидентов кибербезопасности на уровне курса ANT0041.
Содержание курса:
- Модуль 1 – Цикл жизни кибератак.
- Классификация кибератак.
- Этапа проведения кибератаки.
- Артефакты кибератак и их взаимосвязь.
- Модуль 2 – Методология обработки инцидентов кибербезопасности.
- Процесс обработки инцидентов.
- Инструменты и инфраструктура для обработки инцидентов.
- Мониторинг событий и инцидентов.
- Цифровая криминалистика в рамках обработки инцидентов.
- Модуль 3 – Реагирование на инциденты кибербезопасности.
- Начальная реакция на инцидент.
- Подтверждение инцидента.
- Определение масштаба инцидента.
- Разработка и применение немедленных мер по сдерживанию инцидента.
- Разработка мер расширенного мониторинга инфраструктуры.
- Разработка мер ликвидации вредоносной активности.
- Разработка хронологии ликвидации вредоносной активности.
- Специфика реакции на инциденты, связанные с базами данных.
- Модуль 4 – Расширенный мониторинг инфраструктуры.
- Расширенный мониторинг сети.
- Расширенный мониторинг конечных устройств.
- Расширенный мониторинг сервисов и приложений.
- Отслеживание инцидента с помощью индикаторов компрометации.
- Использование флагов и маяков в IT-инфраструктуре для мониторинга.
- Модуль 5 – Цифровая криминалистика.
- Процесс проведения криминалистических исследований.
- Инструменты цифровой криминалистики.
- Артефакты файловых и операционных систем.
- Артефакты оперативной памяти.
- Восстановление хронологии событий по артефактам кибератаки.
- Формирование и анализ индикаторов компрометации в цифровых системах.
- Diamond модель и TTP[Tactics, Technics, Procedures] информация.
- Модуль 6 – Ликвидация вредоносной активности.
- Использование индикаторов компрометации для обнаружения вредоносной активности.
- Ликвидация вредоносной активности в сети.
- Ликвидация вредоносной активности на конечных устройствах.
- Ликвидация вредоносной активности сервисов и приложений.
- Документирование процесса и результатов ликвидации вредоносной активности.
- Модуль 7 – Обработка инцидентов в архитектуре корпоративной кибербезопасности.
- Архитектура корпоративной кибербезопасности.
- Рекомендации по стратегической модернизации процессов и архитектуры корпоративной кибербезопасности на основе данных об инцидентах.
- Встраивание процессов обработки инцидентов в процессы корпоративной кибербезопасности.