Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований цифровых данных операционных систем и приложений. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.
Аудитория курса:
Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.
Предварительные требования к аудитории:
Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и ANT-OL101, а также знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401.
Содержание курса:
- Модуль 1 – Цикл жизни кибератак.
- Классификация кибератак.
- Этапа проведения кибератаки.
- Артефакты кибератак и их взаимосвязь.
- Модуль 2 – Методология цифровой криминалистики.
- Процесс проведения криминалистических исследований.
- Инструменты цифровой криминалистики.
- Принципы обработки удаленных и «дефектных» данных.
- Восстановление цепи событий по артефактам кибератаки.
- Формирование и анализ индикаторов компрометации в цифровых системах.
- Модуль 3 – Поиск и анализ артефактов в файловых системах.
- Архитектура файловых систем.
- Файловые системы FAT, NTFS, Ext*, UFS, ReFS, APFS.
- Анализ метаданных файловых систем.
- Загрузчики ОС.
- Жесткие диски и их логические разделы.
- Создание точной копии жесткого диска.
- Анализ «пустого» пространства жесткого диска.
- SleuthKit и Autopsy.
- Encase.
- Модуль 4 – Поиск и анализ артефактов в ОС Windows.
- Анализ реестра Windows.
- Файлы подкачки и гибернации.
- История ОС и приложений.
- Анализ log’ов ОС.
- Восстановление хронологии кибератаки.
- Модуль 5 – Поиск и анализ артефактов в ОС Linux.
- Анализ процессов и используемых ими файлов.
- Файлы подкачки.
- История ОС и приложений.
- Анализ log’ов ОС.
- Восстановление хронологии кибератаки.
- Модуль 6 – Поиск и анализ артефактов в macOS.
- Анализ процессов и используемых ими файлов.
- Файлы подкачки.
- История ОС и приложений.
- Анализ log’ов ОС.
- Восстановление хронологии кибератаки.
- Модуль 7 – Поиск и анализ артефактов в приложениях.
- Анализ активности электронной почты.
- Анализ web-активности.
- Модуль 8 – Введение в анализ оперативной памяти и быстро изменяющейся информации.
- Методы получения информации из оперативной памяти.
- Методы получения информации из регистров и кэша процессора.
- Основные методы анализа dump’ов оперативной памяти.
- Модуль 9 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.
- Архитектура корпоративной кибербезопасности
- Мониторинг событий и инцидентов кибербезопасности.
- Реагирование на события и инциденты кибербезопасности.
- Организация процессов цифровой криминалистики.
- Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.