Catalogue
ANT0401
Обработка инцидентов кибербезопасностиEducational program code: Администрирование сетевого оборудования
ANT0401
#Offline — Offline with instructor.
#Remote — Remote with instructor.
50,400
5 days
By request

Материал данного курса позволит слушателям изучить процессы, техники и инструменты обработки инцидентов кибербезопасности. Материал курса охватывает также вопросы организации процессов обработки инцидентов кибербезопасности и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой. 

Предварительные требования к аудитории:

Необходимо обладать знаниями о мониторинге событий и инцидентов кибербезопасности на уровне курса ANT0041.

Содержание курса:

  • Модуль 1 – Цикл жизни кибератак.
  • Классификация кибератак.
  • Этапа проведения кибератаки.
  • Артефакты кибератак и их взаимосвязь.

 

  • Модуль 2 – Методология обработки инцидентов кибербезопасности.
  • Процесс обработки инцидентов.
  • Инструменты и инфраструктура для обработки инцидентов.
  • Мониторинг событий и инцидентов.
  • Цифровая криминалистика в рамках обработки инцидентов.

 

  • Модуль 3 – Реагирование на инциденты кибербезопасности.
  • Начальная реакция на инцидент.
  • Подтверждение инцидента.
  • Определение масштаба инцидента.
  • Разработка и применение немедленных мер по сдерживанию инцидента.
  • Разработка мер расширенного мониторинга инфраструктуры.
  • Разработка мер ликвидации вредоносной активности.
  • Разработка хронологии ликвидации вредоносной активности.
  • Специфика реакции на инциденты, связанные с базами данных.

 

  • Модуль 4 – Расширенный мониторинг инфраструктуры.
  • Расширенный мониторинг сети.
  • Расширенный мониторинг конечных устройств.
  • Расширенный мониторинг сервисов и приложений.
  • Отслеживание инцидента с помощью индикаторов компрометации.
  • Использование флагов и маяков в IT-инфраструктуре для мониторинга.

 

  • Модуль 5 – Цифровая криминалистика.
  • Процесс проведения криминалистических исследований.
  • Инструменты цифровой криминалистики.
  • Артефакты файловых и операционных систем.
  • Артефакты оперативной памяти.
  • Восстановление хронологии событий по артефактам кибератаки.
  • Формирование и анализ индикаторов компрометации в цифровых системах.
  • Diamond модель и TTP[Tactics, Technics, Procedures] информация.

 

  • Модуль 6 – Ликвидация вредоносной активности.
  • Использование индикаторов компрометации для обнаружения вредоносной активности.
  • Ликвидация вредоносной активности в сети.
  • Ликвидация вредоносной активности на конечных устройствах.
  • Ликвидация вредоносной активности сервисов и приложений.
  • Документирование процесса и результатов ликвидации вредоносной активности.

 

  • Модуль 7 – Обработка инцидентов в архитектуре корпоративной кибербезопасности.
  • Архитектура корпоративной кибербезопасности.
  • Рекомендации по стратегической модернизации процессов и архитектуры корпоративной кибербезопасности на основе данных об инцидентах.
  • Встраивание процессов обработки инцидентов в процессы корпоративной кибербезопасности.