Содержание курса:
1 неделя
Цель: Ознакомиться с базовыми понятиями об Incident Response
и этапами реагирования. Ознакомиться с возможностями современных
злоумышленников, их мотивами и базовыми подходами к описанию
компьютерных атак.
1. Реагирование на компьютерные инциденты
- Необходимость реагирования на КИ;
- Место реагирования в работе SOC;
- Этапы реагирования на КИ;
- DFIR. Подходы к реагированию на КИ;
- SOC, CERT, CSIRT;
- SANS и NIST.
2. Современный злоумышленник и его TTP
- Мотивы;
- Инструментарий;
- MITRE ATT&CK;
- Cyber Kill Chain.
2 неделя
Цель: Ознакомиться с мероприятиями этапа подготовки, а также
подходами, принципами и мероприятиями этапа обнаружения
3. Подготовка
- Процессы;
- Люди;
- Технологии.
4. Обнаружение
- Мониторинг;
- SIEM, EDR и XDR, IDS/IPS и др.;
- Приоритизация инцидентов.
3 неделя
Цель: Ознакомиться с основными способами и подходами к анализу
в рамках Incident Response и мероприятиями по сдерживанию
и восстановлению работоспособности инфраструктуры. Изучить
мероприятия, проводимые после инцидента.
5. Анализ
- IOC. Сканеры IOC. Yara;
- Сетевые артефакты;
- Оперативная память;
- Анализ системы;
- Записи журналов. События средств мониторинга;
- Вредоносное ПО.
6. Сдерживание, восстановление, мероприятия, проводимые после инцидента
Сдерживание;
Восстановление;
Мероприятия, проводимые после инцидента.
+ Домашнее задание
https://privatelink.de/?https://incident.codeby.school/