Реагирование на инциденты и компьютерная криминалистика в ОС Windows от CyberEd

    CyberEd
    Стоимость курса
    58 800 Р
    Сертификат
    Да
    Начало курса
    В любой момент
    Трудоустройство
    Нет

    Кому подойдет

    • Аналитики SOC
    • Вирусные аналитики
    • Системные администраторы

    Чему Вы научитесь

    • Научитесь собирать основные объекты расследования: снимки жестких дисков и оперативной памяти
    • На практике изучите способы извлечения артефактов из объектов расследования
    • Научитесь проводить анализ полученных артефактов
    • Узнаете, как обнаружить следы действия вредоносного ПО на системе

    Программа обучения

    Тема 1. Введение в реагирование и форензику

    Цифровая криминалистика

    • Подразделы форензики
    • Задачи форензики

    CERT

    • Задачи CERT
    • Реагирование на инциденты
    • Расследование инцидентов
    • Анализ вредоносного программного обеспечения

    Шесть шагов реагированя на инцидента

    • Подготовка.
    • Идентификация.
    • Сдерживание.
    • Нейтрализация.
    • Восстановление.
    • Закрепление знаний.

    Взаимодействие с подразделениями IT

    • SOC и DFIR

    Требуемые средства для проведения реагирования и расследования

    • Аппаратные средства доступа
    • USB для загрузки в live-режиме
    • CAINE
    • Создание USB для загрузки
    • ПО для сбора артефактов
    • FTK imager
    • System Internals
    • KAPE

    Упражнение:

    • Подготовка USB для сбора информации о системе

    Тема 2. Важные артефакты работы системы и их обработка (Сбор данных)

    Объекты исследования

    Способы сбора технических данных

    • Идеальная последовательность действий
    • Важность снятия RAM
    • Элементы, содержащие RAM
    • Использование FTK для получения снимка RAM
    • Использование Belkasoft для получения снимка RAM
    • Получение снимка RAM в Linux
    • Проверка шифрования накопителя информации
    • Программное снятие снимка накопителя
    • Монтирование образа диска
    • Экспортирование файлов из образа
    • Получение артефактов из образа диска
    • MFT
    • UsnJrnl
    • Registry
    • AmCache
    • Prefetch
    • LNK & JumpList
    • Event Log

    Упражнение:

    • Извлечение полезных артефактов с накопителя на ранних этапах реагирования

    Тема 3. Поиск ВПО на системах и в сети

    Действия злоумышленника:

    • Cyber kill chain
    • MITRE ATT&CK

    Что такое ВПО?

    • Понятие процесса

    Следы работы ВПО на системе

    • Карвинг
    • Volume Shadow Copy
    • Использование сторонних антивирусов
    • IOC и их использование
    • Анализ дампа памяти
    • Поиск методов закрепления
    • Анализ Event Log
    • Получение и проверка хеш-значений файлов в открытых источниках
    • Аномалии временных меток и расположений

    Вывод по поиску ВПО

    Упражнение:

    • Поиск следов наличия ВПО

    Тема 4. Анализ снимков оперативной памяти

    RAM

    • Источники участков RAM
    • Важность снятия RAM

    Фреймворки

    • rekal
    • Volatility

    Анализ запущенных процессов

    • Информация о процессах
    • Идентификация подозрительных процессов

    Анализ окружения процессов

    • Анализ используемых DLL и хендлов
    • Сетевые соединения
    • Анализ соединений
    • Внедрение кода
    • Извлечение данных
    • Строковый поиск
    • Восстановление MFT

    Упражнение:

    • Анализ снимков оперативной памяти

    Тема 5. NTFS

    Упражнение:

    • Работа с NTFS

    Тема 6. Артефакты реестра

    Строение реестра и его расположение

    • Корневые ключи
    • Расположение файлов на диске

    Конфигурационная информация ОС

    • Версии ОС
    • Имя компьютера
    • Временная зона
    • Сетевые интерфейсы
    • История использования сетей
    • Время последнего завершения работы

    Использование USB-устройств

    • Информация о производителе
    • Название устройства
    • GUID диска и назначаемая буква для тома
    • Временные метки использования

    Упражнение:

    • Сбор информации о системе и USB-носителях

    Тема 7. Артефакты закрепления и исполнения

    Методы закрепления

    • Закрепление через реестр
    • Следы создания служб в реестре
    • Задачи Windows
    • Папки startup

    Следы исполнения в реестре

    • UserAssist
    • Application Compatibility Cache
    • Amcache.hve

    Следы исполнения на диске

    • Prefetch
    • LNK
    • JumpList

    Упражнение:

    • Поиск следов закрепления и исполнения ВПО

    Тема 8. Системные логи Windows

    Расположение и типы логов Windows

    Основные отображаемые события

    • События доступа к системе
    • События запуска полезной нагрузки
    • Удаление системных логов

    Распространение по сети

    • Remote Desktop Services
    • Windows Admin Shares
    • PsExec
    • Windows Remote Management Tools
    • WMI
    • Powershell

    Тема 9. Следы в браузерах и сети

    Сбор артефактов браузеров

    • Анализ Edge
    • Анализ Chrome
    • Анализ Firefox

    Исследование дампа трафика

    • Wireshark

    Исследование статистических данных о трафике в сети

    • NetFlow

    Упражнение:

    • Поиск данных об использований браузера пользователем и анализ сетевого трафика

    Тема 10. Проверочное занятие

    • Тестовая часть по проведённым лекционным занятиям
    • Практическая часть формата jeopardy (образы диска для поиска следов атаки)

    Отзывы о школе 2

    5 из 5
    2
    0
    0
    0
    0
    Сортировать:
    Дате публикации
    • Дата публикации
    • Популярности
    • Сначала положительные
    • Сначала отрицательные
    • Семен 15 августа 2023

      Я смело рекомендую данную школу всем, кто хочет начать свой путь в области информационной безопасности и информационных технологий. Лично для меня эта школа была отправной точкой моего профессионального роста. До начала обучения я не имел практических навыков в компьютерной технике, и мои знания ограничивались установкой программного обеспечения на компьютер. Сегодня я работаю специалистом по информационной безопасности в одной из ведущих ИТ-компаний в России. Хочу выразить благодарность преподавателям, таким как Александр, Ильдар, Ярослав, Иван и Павел, которые оказали мне огромную поддержку на пути обучения. Они профессионалы своего дела и всегда готовы помочь и научить различным аспектам информационной безопасности. Они подходят к студентам индивидуально и всегда дает максимально подробные объяснения тем, а также предоставляют материалы для дальнейшего изучения. Благодаря знаниям, полученным на курсах, я смог найти работу уже на 7-ом месяце обучения, несмотря на то, что курс длился 14 месяцев. К тому же, управляющие и кураторы школы всегда готовы помочь студентам в любых вопросах обучения и расписания. Мне очень нравится открытость и поддержка, которую я получил на этой школе. Я рекомендую это место для всех, кто хочет начать свой путь в сфере ИБ и ИТ, но только при условии готовности посвятить не менее 95% своего времени на обучение. Именно своими усилиями можно достичь успеха. Курсы также содержат углубленные темы и задания повышенной сложности, что позволяет опытным специалистам продолжать улучшать свои знания и навыки. Я считаю, что если бы я начал обучение на школе с моим уровнем знаний на данный момент, мне было бы еще больше полезно. Это мнение разделяют и мои товарищи по курсам с опытом в данной области. К тому же, одним из огромных бонусов этой школы является возможность знакомиться с единомышленниками в данной области. Я до сих пор поддерживаю связь и дружбу с моими сокурсниками и преподавателями.

      Был ли отзыв полезен?
    • Аркадий 12 июня 2023

      Я прошел курс "Основы кибербезопасности" на CyberEd. Это был мой первый опыт онлайн-обучения, и я был скептичен насчет эффективности такого формата. Однако, организация учебного процесса и уровень преподавания превзошли мои ожидания. Общение было очень душевным, а все вопросы затрагивались и разъяснялись до конца. Группа была очень разношерстной, среди нас были как новички, так и специалисты с опытом, что сделало обучение еще более интересным и насыщенным. Занятия проходили по вечерам, продолжительностью в три часа, которых, порой, не хватало. Однако, учитывая нашу всяческую заинтересованность, множество занятий продолжались дополнительно. Часть материала была сложной, особенно когда нужно было выполнять домашние задания и учебу день за днем. Все было предельно понятно благодаря детальным мануалам и индивидуальным консультациям. Лично мое мнение - я бы предпочел модуль на Python вместо модуля WeB. Однако, в целом, все было очень интересно. По моему мнению, эти курсы подойдут тем, кто уже имеет базовые знания в области компьютерных наук. Обучение станет ценным для дисциплинированных людей, так как посещение занятий и выполнение домашних заданий обязательно. Возможность записываться на пары есть, но это уже "не лицом к лицу" обучение. Я бы порекомендовал эти курсы всем, кто интересуется данной темой. Я действительно не жалею, что потратил свои деньги и время на это обучение.

      Был ли отзыв полезен?
    Посмотреть все отзывы о CyberEd