О курсе
Представьте масштабный инцидент, затронувший ключевую инфраструктуру организации. Несколько хостов с важнейшими артефактами больше недоступны. Нет файлов event logs, следов исполнения приложений и метаданных файловых систем. И все же вы хотите найти следы запуска вредоносного ПО и точку входа. Сетевая криминалистика способна помочь. Однако…Как оперативно проанализировать трафик и логи? Куда смотреть? Что искать?
Ответить на эти вопросы поможет новый курс F.A.С.С.T.
Он посвящен 2 основным вопросам:
- Что необходимо анализировать? Как собрать данные для эффективного анализа?
- Как проанализировать данные? Что для этого необходимо?
Навыки сетевой криминалистики понадобятся не только для расследования сложных инцидентов ИБ. Они могут применяться для проактивной защиты организации и позволяют значительно обогатить процессы криминалистики хостов, что далеко не избыточное преимущество для команды специалистов ИБ.
Ключевые темы:
- Типы сетевых цифровых доказательств
- «Вызовы» для крупных инфраструктур
- Методы сбора сетевых артефактов
- Open-source решения по мониторингу сетевого трафика
- Техники анализа сетевого трафика
- Обзор источников threat intelligence для обогащения сетевых артефактов
После окончания курса вы сможете:
- Проводить сбор сетевых цифровых доказательств
- Расследовать инциденты разной сложности при помощи сетевых артефактов
- Правильно применять данные киберразведки в рамках сетевой криминалистики
Для кого этот курс?
- Специалисты ИБ
- Специалисты по реагированию на инцидент
- Аналитики SOC/CERT
- Компьютерные криминалисты
Навыки для успешного прохождения курса:
- Знание сетевых уровней, протоколов, полей заголовков
- Способность объяснить, что происходит после запроса google.com в браузере
- Базовые знания языков запросов — Kibana Query Language, логические операторы.
Программа курса
День начинается с обзора основ сетевой криминалистики. Тренеры расскажут про 3 этапа процесса исследования, типы сетевых доказательств, способы их извлечения, а также техники анализа трафика. Для обогащения процесса исследования будут использованы источники киберразведывательных данных.
Одно из практических заданий в этот день – расследование инцидента на базе алертов IDS\IPS. День завершится обсуждением проблем, с которыми могут столкнуться специалисты в рамках исследования сетевых артефактов, и способов их решения.
Второй день начнется с основ мониторинга событий на базе open-source стека ELK (Elasticsearch, Logstash, Kibana). Слушатели проведут расследование инцидента, используя лишь криминалистическую копию веб-сервера и web access логи.