ANT0403 — Цифровая криминалистика в сетях TCP/IP
ANT0403 - Цифровая криминалистика в сетях TCP/IP
Описание курса:
Материал данного курса позволит слушателям изучить процессы, техники и инструменты
проведения криминалистических исследований цифровых данных о сетевой активности
корпоративных систем и приложений. Материал курса охватывает также вопросы организации
процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной
кибербезопасности.
Аудитория курса:
Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры,
занимающиеся цифровой криминалистикой.
Предварительные требования к аудитории:
Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов
ANT-OW101 и OL101, а также знаниями о процессах обработки инцидентов кибербезопасности на
уровне курса ANT0401.
Содержание курса:
Модуль 1 – Цикл жизни кибератак.
Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.
Модуль 2 – Методология цифровой криминалистики.
Процесс проведения криминалистических исследований.
Инструменты цифровой криминалистики.
Принципы обработки удаленных и «дефектных» данных.
Восстановление хронологии кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.
Модуль 3 – Сбор сетевого трафика.
Принципы сбора сетевого трафика в корпоративной инфраструктуре.
«Зеркалирование» сетевого трафика.
Хранение собранного сетевого трафика.
Модуль 4 – Анализ сетевого трафика с помощью Wireshark’а.
Архитектура и возможности Wireshark’а.
Препроцессоры.
Фильтры.
Компоненты Mate.
Обнаружение и анализ сетевых атак и вредоносной сетевой активности
dump’ах трафика.