ANT0401 — Обработка инцидентов кибербезопасности
ANT0401 - Обработка инцидентов кибербезопасности
Описание курса:
Материал данного курса позволит слушателям изучить процессы, техники и инструменты обработки инцидентов кибербезопасности. Материал курса охватывает также вопросы организации процессов обработки инцидентов кибербезопасности и их встраивания в общую архитектуру корпоративной кибербезопасности.
Аудитория курса:
Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.
Предварительные требования к аудитории:
Необходимо обладать знаниями о мониторинге событий и инцидентов кибербезопасности на уровне курса ANT0041.
Содержание курса:
Модуль 1 – Цикл жизни кибератак.
Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.
Модуль 2 – Методология обработки инцидентов кибербезопасности.
Процесс обработки инцидентов.
Инструменты и инфраструктура для обработки инцидентов.
Штатное расписание …
Мониторинг событий и инцидентов.
Цифровая криминалистика в рамках обработки инцидентов.
Модуль 3 – Реагирование на инциденты кибербезопасности.
Начальная реакция на инцидент.
Подтверждение инцидента.
Определение масштаба инцидента.
Разработка и применение немедленных мер по сдерживанию инцидента.
Разработка мер расширенного мониторинга инфраструктуры.
Разработка мер ликвидации вредоносной активности.
Разработка хронологии ликвидации вредоносной активности.
Специфика реакции на инциденты, связанные с базами данных.
Модуль 4 – Расширенный мониторинг инфраструктуры.
Расширенный мониторинг сети.
Расширенный мониторинг конечных устройств.
Расширенный мониторинг сервисов и приложений.
Отслеживание инцидента с помощью индикаторов компрометации.
Использование флагов и маяков в IT-инфраструктуре для мониторинга.
Модуль 5 – Цифровая криминалистика.
Процесс проведения криминалистических исследований.
Инструменты цифровой криминалистики.
Артефакты файловых и операционных систем.
Артефакты оперативной памяти.
Восстановление хронологии событий по артефактам кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.
Diamond модель и TTP[Tactics, Technics, Procedures] информация.
Модуль 6 – Ликвидация вредоносной активности.
Использование индикаторов компрометации для обнаружения вредоносной активности.
Ликвидация вредоносной активности в сети.
Ликвидация вредоносной активности на конечных устройствах.
Ликвидация вредоносной активности сервисов и приложений.
Документирование процесса и результатов ликвидации вредоносной активности.
Модуль 7 – Обработка инцидентов в архитектуре корпоративной кибербезопасности.
Архитектура корпоративной кибербезопасности.
Рекомендации по стратегической модернизации процессов и архитектуры корпоративной кибербезопасности на основе данных об инцидентах.
Встраивание процессов обработки инцидентов в процессы корпоративной кибербезопасности.