Catalogue
ANT0402
Цифровая криминалистика в ОС и приложенияхEducational program code: Администрирование сетевого оборудования
ANT0402
#Offline — Offline with instructor.
#Remote — Remote with instructor.
50,400
5 days
By request

Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований цифровых данных операционных систем и приложений. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой. 

Предварительные требования к аудитории:

Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и ANT-OL101, а также знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401.

 Содержание курса:

  • Модуль 1 – Цикл жизни кибератак.
  • Классификация кибератак.
  • Этапа проведения кибератаки.
  • Артефакты кибератак и их взаимосвязь.

 

  • Модуль 2 – Методология цифровой криминалистики.
  • Процесс проведения криминалистических исследований.
  • Инструменты цифровой криминалистики.
  • Принципы обработки удаленных и «дефектных» данных.
  • Восстановление цепи событий по артефактам кибератаки.
  • Формирование и анализ индикаторов компрометации в цифровых системах.

 

  • Модуль 3 – Поиск и анализ артефактов в файловых системах.
  • Архитектура файловых систем.
  • Файловые системы FAT, NTFS, Ext*, UFS, ReFS, APFS.
  • Анализ метаданных файловых систем.
  • Загрузчики ОС.
  • Жесткие диски и их логические разделы.
  • Создание точной копии жесткого диска.
  • Анализ «пустого» пространства жесткого диска.
  • SleuthKit и Autopsy.
  • Encase.

 

  • Модуль 4 – Поиск и анализ артефактов в ОС Windows.
  • Анализ реестра Windows.
  • Файлы подкачки и гибернации.
  • История ОС и приложений.
  • Анализ log’ов ОС.
  • Восстановление хронологии кибератаки.

 

  • Модуль 5 – Поиск и анализ артефактов в ОС Linux.
  • Анализ процессов и используемых ими файлов.
  • Файлы подкачки.
  • История ОС и приложений.
  • Анализ log’ов ОС.
  • Восстановление хронологии кибератаки.

 

  • Модуль 6 – Поиск и анализ артефактов в macOS.
  • Анализ процессов и используемых ими файлов.
  • Файлы подкачки.
  • История ОС и приложений.
  • Анализ log’ов ОС.
  • Восстановление хронологии кибератаки.

 

  • Модуль 7 – Поиск и анализ артефактов в приложениях.
  • Анализ активности электронной почты.
  • Анализ web-активности.

 

  • Модуль 8 – Введение в анализ оперативной памяти и быстро изменяющейся информации.
  • Методы получения информации из оперативной памяти.
  • Методы получения информации из регистров и кэша процессора.
  • Основные методы анализа dump’ов оперативной памяти.

 

  • Модуль 9 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.
  • Архитектура корпоративной кибербезопасности
  • Мониторинг событий и инцидентов кибербезопасности.
  • Реагирование на события и инциденты кибербезопасности.
  • Организация процессов цифровой криминалистики.
  • Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.