Catalogue
ANT0403
Цифровая криминалистика в сетях TCP/IPEducational program code: Администрирование сетевого оборудования
ANT0403
#Offline — Offline with instructor.
#Remote — Remote with instructor.
50,400
5 days
By request

Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований цифровых данных о сетевой активности корпоративных систем и приложений. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой. 

Предварительные требования к аудитории:

Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и ANT-OL101, а также знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401.

 Содержание курса:

  • Модуль 1 – Цикл жизни кибератак.
  • Классификация кибератак.
  • Этапа проведения кибератаки.
  • Артефакты кибератак и их взаимосвязь.

 

  • Модуль 2 – Методология цифровой криминалистики.
  • Процесс проведения криминалистических исследований.
  • Инструменты цифровой криминалистики.
  • Принципы обработки удаленных и «дефектных» данных.
  • Восстановление хронологии кибератаки.
  • Формирование и анализ индикаторов компрометации в цифровых системах.

 

  • Модуль 3 – Сбор сетевого трафика.
  • Принципы сбора сетевого трафика в корпоративной инфраструктуре.
  • «Зеркалирование» сетевого трафика.
  • Хранение собранного сетевого трафика.

 

  • Модуль 4 – Анализ сетевого трафика с помощью Wireshark’а.
  • Архитектура и возможности Wireshark’а.
  • Препроцессоры.
  • Фильтры.
  • Компоненты Mate.
  • Обнаружение и анализ сетевых атак и вредоносной сетевой активности в dump’ах трафика.

 

  • Модуль 5 – Анализ вредоносной сетевой активности.
  • Артефакты вредоносной сетевой активности.
  • Обнаружение вредоносной сетевой активности средствами ОС Windows.
  • Обнаружение вредоносной сетевой активности средствами Linux/macOS.
  • Обнаружение вредоносной сетевой активности средствами HIPS/HIDS.
  • Восстановление хронологии кибератаки.

 

  • Модуль 6 – Статистический анализ трафика.
  • Принципы и методы статистического анализа.
  • «Стандартные» алгоритмы.
  • Алгоритмы «Big Data».
  • Сбор и анализ статистической информации. Netflow.

 

  • Модуль 7 – Сбор и анализ log’в сетевой активности.
  • Принципы работы подсистемы создания log’ов.
  • Log’и событий на сетевых устройствах.
  • Log’и сетевых событий серверных систем и приложений.
  • Log’и сетевых событий пользовательских систем.
  • Централизованный сбор и хранение log’ов сетевых событий.
  • Анализ log’ов сетевых событий.

 

  • Модуль 8 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.
  • Архитектура корпоративной кибербезопасности
  • Мониторинг событий и инцидентов кибербезопасности.
  • Реагирование на события и инциденты кибербезопасности.
  • Организация процессов цифровой криминалистики.
  • Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.