О курсе

Курс доступен в формате записанных видеолекций и практических сессий с тренером. За 2 недели до начала курса вы получите лекции для самостоятельного изучения, а на занятиях с тренером сможете закрепить знания на практике.

Среди компаний во всем мире растет спрос на понимание того, как происходят инциденты информационной безопасности, чтобы иметь возможность предотвратить нанесение ущерба бизнесу. Тем не менее, поскольку вредоносная активность не демонстрирует признаков замедления ни по объему, ни по частоте, многие инциденты остаются незамеченными или не расследуются должным образом. Это означает, что зачастую организации становятся жертвами компрометации неоднократно, неся при этом финансовые и репутационные потери.

Последствия кибератаки могут быть разрушительными, но тщательное и адекватное расследование может гарантировать, что компания не станет постоянной жертвой кибератак.В этом поможет данный курс.

Этот пятидневный интенсивный курс дает углубленное представление о трех основных элементах Windows DFIR: методах сбора данных, криминалистике оперативной памяти и криминалистике хоста для реагирования на инциденты.

Ключевые темы:

  • Компьютерная криминалистика для реагирования на инциденты
  • Использование CTI во время реагирования на инциденты
  • Получение цифровых доказательств
  • Создание криминалистического образа
  • Артефакты хоста
  • Создание дампа памяти
  • Артефакты оперативной памяти
  • Альтернативные источники энергозависимых данных

После окончания курса вы сможете:

  • Понимать методы криминалистического сбора данных
  • Использовать методы криминалистики памяти и хоста для реагирования на инциденты
  • Создавать и анализировать криминалистические образы и дампы памяти
  • Определять тактики, техники и процедуры (TTP), используемые атакующими

Для кого этот курс:

  • Специалисты по информационной безопасности
  • Технические специалисты с опытом работы в ИБ
  • Специалисты по реагированию на инциденты

Навыки для успешного прохождения курса:

  • Опыт администрирования Windows
  • Базовое понимание файловых систем, процессов кибератак и принципов работы вредоносного ПО

Программа курса

День 1
arrow_drop_down
Теория
Демонстрация
Практика

Практическая часть тренинга начинается с обсуждения CTI-ориентированного подхода. Мы изучим, как можно применять информацию об угрозах при реагировании на инциденты, и о преимуществах такого подхода. Далее перейдем к сбору данных. Участники практикуются в создании криминалистических изображений и знакомятся с процессом их анализа. Большая часть первого дня посвящена анализу артефактов хоста, в частности метафайлов файловой системы NTFS и основных системных файлов.

День 2
arrow_drop_down
Теория
Демонстрация
Практика

Второй день посвящен анализу хоста. Участники узнают, как исследовать файлы, связанные с наиболее популярными приложениями и базами данных, а также узнают, как работать с реестром Windows и журналами событий. В конце дня мы изучим анализ подозрительных документов и скриптов, а участники смогут самостоятельно проанализировать вредоносные файлы.

День 3
arrow_drop_down
Теория
Демонстрация
Практика

Третий день начинается с практики создания и анализа дампов памяти. Участники изучат основные методы исследования активности пользователей. Для закрепления полученных знаний слушатели самостоятельно проанализируют дамп оперативной памяти и выявят следы вредоносной активности пользователей.

День 4
arrow_drop_down
Теория
Демонстрация
Практика

Четвертый день начинается с техник поиска вредоносной активности в дампах памяти, а также с обзора основных тактик и техник, используемых вредоносным ПО. Далее следует еще один практический кейс, после которого сессия переходит к изучению альтернативных источников энергозависимых данных. Мы расскажем, как собирать и анализировать файлы гибернации, файлы подкачки и аварийные дампы.

День 5
arrow_drop_down
Демонстрация
Практика

В последний день участники работают самостоятельно. Им предоставляется криминалистический образ для извлечения и анализа артефактов. Слушателям предлагают два набора вопросов (базовый и расширенный), чтобы проверить их понимание инцидента. В рамках теста они также ищут дополнительные артефакты, чтобы зафиксировать ландшафт инцидента и сопоставить его с матрицей MITRE ATT&CK®. Тест заканчивается обсуждением результатов и выводов, а также демонстрацией правильных методов и лучших практик.