ANT0403 - Цифровая криминалистика в сетях TCP/IP

Описание курса:

Материал данного курса позволит слушателям изучить процессы, техники и инструменты
проведения криминалистических исследований цифровых данных о сетевой активности
корпоративных систем и приложений. Материал курса охватывает также вопросы организации
процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной
кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры,
занимающиеся цифровой криминалистикой.

Предварительные требования к аудитории:

Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов
ANT-OW101 и OL101, а также знаниями о процессах обработки инцидентов кибербезопасности на
уровне курса ANT0401.

Содержание курса:

Модуль 1 – Цикл жизни кибератак.

Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.

Модуль 2 – Методология цифровой криминалистики.

Процесс проведения криминалистических исследований.
Инструменты цифровой криминалистики.
Принципы обработки удаленных и «дефектных» данных.
Восстановление хронологии кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.

Модуль 3 – Сбор сетевого трафика.

Принципы сбора сетевого трафика в корпоративной инфраструктуре.
«Зеркалирование» сетевого трафика.
Хранение собранного сетевого трафика.

Модуль 4 – Анализ сетевого трафика с помощью Wireshark’а.

Архитектура и возможности Wireshark’а.
Препроцессоры.
Фильтры.
Компоненты Mate.
Обнаружение и анализ сетевых атак и вредоносной сетевой активности
dump’ах трафика.