Top.Mail.Ru
Вернуться назад
Вернуться назад
1 неделя
Тема: Базовые понятия об Incident Response
Цель: Ознакомиться с базовыми понятиями об Incident Response
и этапами реагирования. Ознакомиться с возможностями современных
злоумышленников, их мотивами и базовыми подходами к описанию
компьютерных атак.
  1. Реагирование на компьютерные инциденты
  2. Необходимость реагирования на КИ;
  3. Место реагирования в работе SOC;
  4. Этапы реагирования на КИ;
  5. DFIR. Подходы к реагированию на КИ;
  6. SOC, CERT, CSIRT;
  7. SANS и NIST.
+ Домашнее задание
  1. Современный злоумышленник и его TTP
  2. Мотивы;
  3. Инструментарий;
  4. MITRE ATT&CK;
  5. Cyber Kill Chain.
+ Домашнее задание

2 неделя
Тема: Этапы Incident Response. Подготовка и выявление
Цель: Ознакомиться с мероприятиями этапа подготовки, а также
подходами, принципами и мероприятиями этапа обнаружения
  1. Подготовка
  2. Процессы;
  3. Люди;
  4. Технологии.
+ Домашнее задание
  1. Обнаружение
  2. Мониторинг;
  3. SIEM, EDR и XDR, IDS/IPS и др.;
  4. Приоритизация инцидентов.
+ Домашнее задание

3 неделя
Тема: Этапы Incident Response. Анализ, сдерживание,
восстановление и активность после инцидента
Цель: Ознакомиться с основными способами и подходами к анализу
в рамках Incident Response и мероприятиями по сдерживанию
и восстановлению работоспособности инфраструктуры. Изучить
мероприятия, проводимые после инцидента.
  1. Анализ
  2. IOC. Сканеры IOC. Yara;
  3. Сетевые артефакты;
  4. Оперативная память;
  5. Анализ системы;
  6. Записи журналов. События средств мониторинга;
  7. Вредоносное ПО.
+ Домашнее задание
  1. Сдерживание, восстановление, мероприятия, проводимые после инцидента
  2. Сдерживание;
  3. Восстановление;
  4. Мероприятия, проводимые после инцидента.
+ Домашнее задание

4 неделя
Тема: Форензика в ОС Windows. Сбор материалов
и анализ файловой активности
Цель: Изучить основные источники для проведения форензики
в Windows, а также приобрести навыки по анализу файловой
активности ОС Windows.
  1. Сбор материалов для анализа в ОС Windows
  2. Принципы форензики, порядок сбора материалов,
правила работы с собранными материалами;
  1. Утилиты для сбора материалов;
  2. Контроль целостности собранных материалов.
+ Домашнее задание
  1. Анализ файловой активности в ОС Windows
  2. $MFT и структура NTFS-записи;
  3. Анализ UsnJrnl;
  4. Анализ файлов $I30;
  5. Альтернативные файловые потоки.
+ Домашнее задание

5 неделя
Тема: Форензика в ОС Windows. Анализ системного
реестра и журналов событий
Цель: Приобрести навыки выявления следов вредоносной
активности в системном реестре, а также научиться выявлять
необходимые события из журналов событий Windows.
  1. Анализ системного реестра ОС Windows
  2. Устройство реестра. Методы анализа;
  3. Инструменты для работы с реестром;
  4. Основные артефакты, хранимые в системном реестре.
+ Домашнее задание
  1. Анализ журналов событий ОС Windows
  2. Журналы событий. Устройство и основные события;
  3. События аутентификации в локальной системе и на
контроллере домена;
  1. Доступ к объекту и аудит процессов. Настройка аудита;
  2. События, характерные для вредоносной активности на хосте;
  3. Аудит событий Remote Desktop Protocol (RDP), WMI, WinRM;
  4. Создание запросов для фильтрации событий оснастке Windows;
  5. События Sysmon;
  6. Инструменты для работы с журналами событий Windows.
+ Домашнее задание

6 неделя
Тема: Форензика в ОС Windows. Анализ запуска приложений
и активности пользователей
Цель: Приобрести навыки по определению перечня запускавшихся
приложений в ОС Windows, а также по построению картины деятельности
пользователей.
  1. Анализ запуска приложений ОС Windows
  2. Amcache, Shimcache;
  3. BAM/DAM;
  4. Jump Lists;
  5. Prefetch;
  6. ActivitiesCache;
  7. System Resource Usage Monitor (SRUM);
  8. Остальные признаки запуска приложений в ОС Windows.
+ Домашнее задание
  1. Анализ активности пользователей ОС Windows
  2. Активность браузера;
  3. Работа с облачными хранилищами;
  4. Сетевая активность и определение физического
местонахождения;
  1. Работа с почтовыми службами;
  2. Работа с внешними устройствами;
  3. Работа с командными интерпретаторами;
  4. Работа с корзиной.
+ Домашнее задание

7 неделя
Тема: Форензика в ОС Windows. Снятие и анализ дампа
оперативной памяти
Цель: Изучить структуру оперативной памяти и получить практические
навыки по анализу содержимого оперативной памяти.
  1. Снятие и анализ дампа оперативной памяти (часть 1)
  2. Структура и содержимое оперативной памяти;
  3. Инструменты снятия образа оперативной памяти;
  4. Краткий обзор инструментов анализа оперативной
памяти Volatility и Rekall;
  1. Особенности работы с файлом гибернации и файлом
подкачки.
+ Домашнее задание
  1. Анализ оперативной памяти (часть 2)
  2. Извлечение материалов для форензики из образа
оперативной памяти;
  1. Анализ процессов в дампе оперативной памяти;
  2. Форензика на уровне ядра и поиск признаков руткитов.
+ Домашнее задание

8 неделя
Тема: Форензика в Linux
Цель: Изучить особенности форензики в ОС Linux, приобрести навыки
по работе с утилитами для снятия дампа оперативной памяти в ОС Linux.
  1. Форензика в Linux
  2. Описание устройства файловой системы ext4 и работы с ней
посредством TSK;
  1. Анализ журналов событий Linux;
  2. Описание механизмов закрепления Linux.
+ Домашнее задание
  1. Снятие и анализ дампа оперативной памяти Linux
  2. Использование LiME и снятие образов памяти отдельных
процессов;
  1. Сборка образа volatility под определенную версию
дистрибутива Linux;
  1. Описание структур и данных, хранимых в оперативной памяти
на примере анализа посредством volatility (Практическая работа).
+ Домашнее задание

9 неделя
Тема: Статический анализ ВПО
Цель: Ознакомиться с устройством PE-файлов и особенностей ВПО,
скомпилированных для ОС Windows, получить практические навыки
по подготовке виртуальной среды для анализа ВПО, а также навыки
по статическому анализу ВПО.
  1. Анализ вредоносных программ. Базовый статический анализ
  2. Анализ структуры PE-файла;
  3. Анализ характерных для ВПО особенностей PE-файла;
  4. Анализ других типов ВПО.
+ Домашнее задание
  1. Углубленный статический анализ
  2. Краткое введение в ассемблер х86;
  3. Описание типовых конструкций в ассемблерном
представлении;
  1. Описание особенностей статического анализа ВПО;
  2. Примеры ВПО в дизассемблированном виде.
+ Домашнее задание

10 неделя
Тема: Динамический анализ ВПО.
Цель: Изучить различные подходы к динамическому анализу ВПО,
получить практические навыки по отладке вредоносных программ
  1. Базовый динамический анализ
  2. Анализ работы ВПО посредством мониторинга
Windows API;
  1. Анализ работы ВПО посредством сравнения состояний
системы до и после запуска;
  1. Мониторинг сетевой активности.
+ Домашнее задание
  1. Углубленный динамический анализ
  2. Общее описание подхода отладки ВПО;
  3. Использование отладчиков (на примере x64dbg);
  4. Особенности отладки ВПО в Windows;
  5. Обход типовых механизмов защиты ВПО
от анализа.
+ Домашнее задание

11 неделя
Тема: Автоматизация анализа ВПО. Поиск механизмов закрепления
Цель: Ознакомиться с инструментами автоматического анализа
ВПО, механизмами детектирования вредоносными программами
виртуального окружения, а также изучить основные способы
закрепления в инфраструктуре.
  1. Автоматизация анализа ВПО. Песочницы
  2. Общедоступные решения для автоматического анализа ВПО;
  3. Open-source песочницы. Полезные плагины;
  4. Механизмы ВПО по детектированию виртуального окружения.
+ Домашнее задание
  1. Поиск механизмов закрепления злоумышленника
в защищаемой инфраструктуре
  1. Ключи реестра. Записи реестра Winlogon;
  2. Запланированные задачи;
  3. Папка автозапуска;
  4. Установка отладчика для приложения;
  5. AppInit_DLLs;
  6. Захват порядка поиска DLL;
  7. Захват COM-объекта;
  8. Службы;
  9. Другие механизмы закрепления в ОС Windows.
+ Домашнее задание

12 неделя
Тема: Анализ событий внутри SOC и способы удаленного
получения информации для реагирования
Цель: Ознакомиться с работой средств мониторинга, событиями
безопасности и подходами к анализу этих событий. Ознакомиться
со способами удаленного сбора информации, необходимой для
реагирования.
  1. Анализ событий на средствах мониторинга и из
других источников
  1. Источники событий в SOC;
  2. Анализ событий в SIEM, EDR и XDR, IDS/IPS и др.;
  3. Работа с событиями от открытых или условно бесплатных
средств (WEC, Sysmon, Velociraptor и др.).
+ Домашнее задание
  1. Способы удаленного сбора информации для реагирования
  2. Использование WMI для сбора информации о системе
и извлечения необходимых материалов;
  1. Использование PowerShell для сбора информации о системе
и извлечения необходимых материалов;
  1. Использование дополнительных утилит и фреймворков
для сбора информации о системе и извлечения необходимых
материалов.
+ Домашнее задание

13 неделя
Тема: Введение в Threat Intelligence, выявление тактик
злоумышленников и введение в Threat Hunting
Цель: Ознакомиться с базовыми понятиями Threat Intelligence и Threat Hunting
  1. Введение в Threat Intelligence
  2. Что такое Threat Intelligence, для чего он нужен и каким он бывает?
  3. Модель “Алмаза”;
  4. Основные инструменты Threat Intelligence.
+ Домашнее задание
  1. Способы выявления тактик злоумышленников и Threat Hunting
  2. Что такое Threat Hunting?
  3. Этапы Threat Hunting;
  4. Подходы к Threat Hunting;
  5. Инструменты Threat Hunting.
+ Домашнее задание

14 неделя

Тема: Заключение. Экзамен и подведение итогов
Цель: Закрепить полученные знания, навыки и умения,
а также подытожить пройденный материал.
  1. Итоговая практическая работа
  2. Заключение. Экзамен теоретических знаний:
  3. Резюме пройденного материала;
  4. Проведение экзамена теоретических знаний;
  5. Результаты экзамена и подведение итогов курса.