[HTB Academy] Аналитик SOC Hack The Box. HTB CDSA. Часть 2

Программа подготовки аналитиков SOC предназначена для новичков в сфере информационной безопасности, стремящихся стать профессиональными аналитиками SOC. Эта программа охватывает основные концепции мониторинга и анализа безопасности, а также обеспечивает глубокое понимание специализированных инструментов, тактики атак и методологии, используемых злоумышленниками. Обладая необходимым теоретическим опытом и выполняя многочисленные практические упражнения, студенты пройдут все этапы анализа безопасности, от анализа трафика и мониторинга SIEM до деятельности в области цифровой криминалистики и реагирования на инциденты (DFIR) и составления отчетов. По завершении этой программы вы получите практические навыки и образ мышления, необходимые для мониторинга инфраструктуры корпоративного уровня и обнаружения вторжений на среднем уровне. Предварительные знания, необходимые для успешной работы по этой программе, можно считать обязательными.

Ключевые темы курса:

• Процесс обработки инцидентов
• Основы мониторинга безопасности и SIEM
• Журналы событий Windows и поиск зла
• Введение в поиск угроз и поиск угроз с помощью Elastic
• Анализ источников логов и проведение расследований с помощью Splunk
• Атаки и защита Windows
• Введение в анализ сетевого трафика
• Промежуточный анализ сетевого трафика
• Работа с системами обнаружения и предотвращения вторжений (IDS/IPS).
• Введение в анализ вредоносного ПО
• Деобфускация JavaScript
• YARA и Sigma для аналитиков SOC
• Введение в цифровую криминалистику
• Обнаружение атак на Windows с помощью Splunk
• Сообщение об инцидентах безопасности

Содержание второй части:

1. Работа с системами обнаружения и предотвращения вторжений (IDS/IPS):
   Этот модуль предлагает углубленное изучение Suricata, Snort и Zeek, охватывая как разработку правил, так и обнаружение вторжений. Мы проведем вас через разработку правил на основе сигнатур и аналитики, и вы научитесь обрабатывать зашифрованный трафик. Модуль включает множество практических примеров, ориентированных на обнаружение распространенных вредоносных программ, таких как PowerShell Empire, Covenant, Sliver, Cerber, Dridex, Ursnif и Patchwork. Мы также углубимся в обнаружение методов атак, таких как эксфильтрация DNS, эксфильтрация TLS/HTTP, горизонтальное перемещение PsExec и использование маячков через IDS/IPS.
2. Введение в анализ вредоносного ПО: Этот модуль предлагает изучение анализа вредоносного ПО, в частности, угроз, ориентированных на Windows. Модуль охватывает статический анализ с использованием инструментов Linux и Windows, распаковку вредоносного ПО, динамический анализ (включая анализ трафика вредоносного ПО), обратное проектирование для анализа кода и отладку с помощью x64dbg. Для получения практического опыта анализируются реальные примеры вредоносного ПО, такие как WannaCry, DoomJuice, Brbbot, Dharma и Meterpreter.
3. Деобфускация JavaScript: Этот модуль шаг за шагом проведет вас через основы деобфускации JavaScript, пока вы не сможете деобфусцировать базовый код JavaScript и понять его назначение.
4. YARA и Sigma для аналитиков SOC: Этот модуль Hack The Box Academy посвящен созданию правил YARA как вручную, так и автоматически, а также их применению для поиска угроз на диске, в работающих процессах, памяти и онлайн-базах данных. Затем модуль переходит к правилам Sigma, рассматривая, как создавать правила Sigma, преобразовывать их в запросы SIEM с помощью "sigmac" и искать угрозы как в журналах событий, так и в решениях SIEM. Все занятия проходят на практике с использованием реального вредоносного ПО и методов.
5. Введение в цифровую криминалистику: Погрузитесь в цифровую криминалистику Windows с помощью модуля «Введение в цифровую криминалистику» от Hack The Box Academy. Освойте основные концепции и инструменты криминалистики, такие как FTK Imager, KAPE, Velociraptor и Volatility. Углубитесь в криминалистику памяти, анализ образов дисков и процедуры быстрой сортировки. Научитесь создавать временные шкалы из MFT, журналов USN и журналов событий Windows, а также получите практический опыт работы с ключевыми артефактами, такими как MFT, журнал USN, разделы реестра, предварительно загруженные файлы, ShimCache, Amcache, BAM и данные SRUM.
6. Обнаружение атак на Windows с помощью Splunk: Этот модуль Hack The Box Academy посвящен выявлению атак на Windows и Active Directory. Используя Splunk в качестве основы для расследования, это обучение вооружит участников экспертными знаниями для умелого выявления угроз на основе Windows с помощью журналов событий Windows и сетевых журналов Zeek. Кроме того, участники получат доступ к реальным файлам PCAP, связанным с обсуждаемыми атаками на Windows и Active Directory, что улучшит их понимание соответствующих моделей и методов атак.
7. Сообщение об инцидентах безопасности: Этот модуль Hack The Box Academy, разработанный для обеспечения целостного понимания проблемы, гарантирует, что участники смогут с максимальной точностью и профессионализмом выявлять, классифицировать и документировать инциденты безопасности. Модуль тщательно разбирает элементы подробного отчета об инциденте, а затем представляет участникам реальный отчет об инциденте, предлагая практические примеры применения обсуждаемых концепций.

Дата релиза: 2026
Перевод: перевод с английского языка на русский
Формат: файл PDF