Catalogue
ANT4001
Цифровая криминалистика оперативной памятиEducational program code: Администрирование сетевого оборудования
ANT4001
#Offline — Offline with instructor.
#Remote — Remote with instructor.
50,400
5 days
By request

Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований цифровых данных в оперативной памяти. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой. 

Предварительные требования к аудитории:

Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и ANT-OL101, знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401, а также знаниями в области цифровой криминалистики на уровне курсов ANT0402 и ANT0403.

Содержание курса:

  • Модуль 1 – Цикл жизни кибератак.
  • Классификация кибератак.
  • Этапа проведения кибератаки.
  • Артефакты кибератак и их взаимосвязь.

 

  • Модуль 2 – Методология цифровой криминалистики.
  • Процесс проведения криминалистических исследований.
  • Инструменты цифровой криминалистики.
  • Методика обработки инцидентов кибербезопасности.
  • Восстановление цепи событий по артефактам кибератаки.
  • Формирование и анализ индикаторов компрометации в цифровых системах.

 

  • Модуль 3 – Принципы анализа оперативной памяти и быстро изменяющейся информации.
  • Методы получения информации из оперативной памяти.
  • Методы получения информации из регистров и кэша процессора.
  • Основные методы анализа dump’ов оперативной памяти.

 

  • Модуль 4 – Анализ оперативной памяти Windows.
  • Объекты и пулы ресурсов.
  • Процессы и их компоненты.
  • Поиск вредоносного п/о и его артефактов.
  • Анализ данных реестра.
  • Log’и и события.
  • Артефакты сетевой подсистемы.
  • Сервисы Windows.
  • Данные ядра и поиск rootkit’ов.
  • Анализ данных подсистемы GUI.
  • Артефакты пользовательских действий и приложений.
  • Артефакты вспомогательных системных процессов.
  • Восстановление хронологии кибератаки.

 

  • Модуль 5 – Анализ оперативной памяти Linux.
  • Процессы и их компоненты.
  • Поиск вредоносного п/о и его артефактов.
  • Log’и и события.
  • Артефакты сетевой подсистемы.
  • Данные ядра и поиск rootkit’ов.
  • Артефакты пользовательских действий и приложений.
  • Артефакты вспомогательных системных процессов.
  • Восстановление хронологии кибератаки.

 

  • Модуль 6 – Анализ оперативной памяти macOS.
  • Процессы и их компоненты.
  • Поиск вредоносного п/о и его артефактов.
  • Log’и и события.
  • Артефакты сетевой подсистемы.
  • Данные ядра и поиск rootkit’ов.
  • Артефакты пользовательских действий и приложений.
  • Артефакты вспомогательных системных процессов.
  • Восстановление хронологии кибератаки.

 

  • Модуль 7 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.
  • Архитектура корпоративной кибербезопасности
  • Мониторинг событий и инцидентов кибербезопасности.
  • Реагирование на события и инциденты кибербезопасности.
  • Организация процессов цифровой криминалистики.
  • Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.