​

Содержание курса:

1 неделя
Цель: Ознакомиться с базовыми понятиями об Incident Response
и этапами реагирования. Ознакомиться с возможностями современных
злоумышленников, их мотивами и базовыми подходами к описанию
компьютерных атак.

1. Реагирование на компьютерные инциденты

• Необходимость реагирования на КИ;
• Место реагирования в работе SOC;
• Этапы реагирования на КИ;
• DFIR. Подходы к реагированию на КИ;
• SOC, CERT, CSIRT;
• SANS и NIST.

+ Домашнее задание

2. Современный злоумышленник и его TTP

• Мотивы;
• Инструментарий;
• MITRE ATT&CK;
• Cyber Kill Chain.

+ Домашнее задание

2 неделя
Цель: Ознакомиться с мероприятиями этапа подготовки, а также
подходами, принципами и мероприятиями этапа обнаружения

3. Подготовка

• Процессы;
• Люди;
• Технологии.

+ Домашнее задание

4. Обнаружение

• Мониторинг;
• SIEM, EDR и XDR, IDS/IPS и др.;
• Приоритизация инцидентов.

+ Домашнее задание

3 неделя
Цель: Ознакомиться с основными способами и подходами к анализу
в рамках Incident Response и мероприятиями по сдерживанию
и восстановлению работоспособности инфраструктуры. Изучить
мероприятия, проводимые после инцидента.

5. Анализ

• IOC. Сканеры IOC. Yara;
• Сетевые артефакты;
• Оперативная память;
• Анализ системы;
• Записи журналов. События средств мониторинга;
• Вредоносное ПО.

+ Домашнее задание


6. Сдерживание, восстановление, мероприятия, проводимые после инцидента
Сдерживание;
Восстановление;
Мероприятия, проводимые после инцидента.
+ Домашнее задание