Кому следует посетить
- Инженеры внедрения и пилотирования
- Операторы и аналитики SOC
- Пресейлы
Предварительные требования
PT NAD: базовая архитектура, особенности установки (PT73)
Для успешного усвоения материала по курсу необходимы:
- Понимание модели ISO/OSI и стека протоколов TCP/IP;
- Практический опыт работы с сетевыми технологиями и протоколами;
- Знание матрицы современных тактик и техник атакующих MITRE ATT&CK и способов их обнаружения;
- Опыт работы с инструментами для анализа сетевого трафика, например, Wireshark;
Желательно иметь:
- Знания принципов работы решений IDS/IPS, SIEM, NTA, WAF, Sandbox;
- Знания устройства и функционирования Windows и Linux на уровне администратора;
- Опыт работы с Positive Technologies MaxPatrol SIEM, с Positive Technologies MultiScanner и другими продуктами Positive Technologies;
- Опыт проведения threat hunting в инфраструктуре.
Цели курса
Вы приобретете знания:
- о том, как работать с интерфейсом;
- о работе аналитика;
- о том, как анализировать трафик и детектировать угрозы;
Вы сможете:
- самостоятельно выявлять атаки в сетевом трафике на периметре и внутри сети;
- обнаруживать нарушения регламентов ИБ, выявляемые при анализе сетевого трафика;
- расследовать атаки;
- показательно проводить аналитику на «пилотах»
Содержание курса
Курс охватывает вопросы проектирования инфраструктуры обнаружения атак на базе системы PT Network Attack Discovery (PT NAD), предполагает детальное изучение её функциональных возможностей, а также встроенных в систему механизмов поиска и фильтрации данных об обнаруженных атаках. Курс содержит исчерпывающие сведения по настройке уведомлений, структуре правил, API. В ходе обучения на практических примерах изучаются правила обнаружения сетевых атак, возможности продукта по написанию пользовательских правил, моделируются типовые сценарии действий злоумышленников, рассматриваются методики их расследования.