Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований цифровых данных в оперативной памяти. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.
Аудитория курса:
Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.
Предварительные требования к аудитории:
Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и ANT-OL101, знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401, а также знаниями в области цифровой криминалистики на уровне курсов ANT0402 и ANT0403.
Содержание курса:
- Модуль 1 – Цикл жизни кибератак.
- Классификация кибератак.
- Этапа проведения кибератаки.
- Артефакты кибератак и их взаимосвязь.
- Модуль 2 – Методология цифровой криминалистики.
- Процесс проведения криминалистических исследований.
- Инструменты цифровой криминалистики.
- Методика обработки инцидентов кибербезопасности.
- Восстановление цепи событий по артефактам кибератаки.
- Формирование и анализ индикаторов компрометации в цифровых системах.
- Модуль 3 – Принципы анализа оперативной памяти и быстро изменяющейся информации.
- Методы получения информации из оперативной памяти.
- Методы получения информации из регистров и кэша процессора.
- Основные методы анализа dump’ов оперативной памяти.
- Модуль 4 – Анализ оперативной памяти Windows.
- Объекты и пулы ресурсов.
- Процессы и их компоненты.
- Поиск вредоносного п/о и его артефактов.
- Анализ данных реестра.
- Log’и и события.
- Артефакты сетевой подсистемы.
- Сервисы Windows.
- Данные ядра и поиск rootkit’ов.
- Анализ данных подсистемы GUI.
- Артефакты пользовательских действий и приложений.
- Артефакты вспомогательных системных процессов.
- Восстановление хронологии кибератаки.
- Модуль 5 – Анализ оперативной памяти Linux.
- Процессы и их компоненты.
- Поиск вредоносного п/о и его артефактов.
- Log’и и события.
- Артефакты сетевой подсистемы.
- Данные ядра и поиск rootkit’ов.
- Артефакты пользовательских действий и приложений.
- Артефакты вспомогательных системных процессов.
- Восстановление хронологии кибератаки.
- Модуль 6 – Анализ оперативной памяти macOS.
- Процессы и их компоненты.
- Поиск вредоносного п/о и его артефактов.
- Log’и и события.
- Артефакты сетевой подсистемы.
- Данные ядра и поиск rootkit’ов.
- Артефакты пользовательских действий и приложений.
- Артефакты вспомогательных системных процессов.
- Восстановление хронологии кибератаки.
- Модуль 7 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.
- Архитектура корпоративной кибербезопасности
- Мониторинг событий и инцидентов кибербезопасности.
- Реагирование на события и инциденты кибербезопасности.
- Организация процессов цифровой криминалистики.
- Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.