Incident Responder - Практический курс по эффективному реагированию на выявленный инцидент и ликвидации его последствий

Курс Incident Responder - это практический курс по эффективному реагированию на выявленный инцидент и ликвидации его последствий. Курс длится три дня. В первый день вы прослушаете теоретическую часть о введении в реагирование на инциденты. Второй и третий дни предполагают практику, в рамках которой у вас будет возможность потренироваться в реагировании на инциденты и применить полученные теоретические знания. Курс также предназначен для тех, кто интересуется реагированием на инциденты и хочет проводить их качественный анализ.

Вопрос заключается не в том, случится ли кибератака, а в том, когда она произойдет. Киберпреступники постоянно осваивают новые тактики, техники и процедуры, тогда как в большинстве компаний до сих пор нет команды по реагированию на инциденты и стратегии реагирования.

Трехдневный интенсив позволит специалистам заполнить пробелы и получить знания и инструменты, необходимые для эффективного реагирования и оперативной локализации инцидент.

АУДИТОРИЯ:
----------
** Специалисты по реагированию на инциденты
** Технические специалисты с опытом в области ИБ
** Специалисты по информационной безопасности
** Сотрудники SOC/CERT

ВХОДНЫЕ ТРЕБОВАНИЯ:
-------------------
Для успешного прохождения курса слушателям желательно обладать базовым пониманием процесса реагирования на инциденты.

После окончания курса вы сможете:
---------------------------------
** Выбирать актуальные источники данных для экспресс-анализа
** Собирать и обрабатывать цифровые артефакты
** Реконструировать действия атакующих на основе полученных результатов
** Понимать методы восстановления после инцидента

КАЖДЫЙ УЧАСТНИК ПОСЛЕ КУРСА ПОЛУЧИТ:
-------------------------------------
** Видео лекций и практические материалы, используемые в ходе курса
** Плакат с описанием основных артефактов и инструментов для их обработки
** Именной сертификат о прохождении обучающего курса Group-IB
** Ценный опыт и информацию, которую вы можете использовать в своей профессиональной деятельности

ВАЖНО! Технические требования:
------------------------------
Для эффективного прохождения курса вам потребуется компьютер, соответствующий следующим критериям:

* Процессор 64-bit Intel i5/i7 (4-е поколение или выше) — x64 bit 2.0+ GHz
* Включенная виртуализация Intel VT
* ОЗУ: 8 ГБ или более
* Права локального администратора

Программное обеспечение (ПО)
* Последняя версия Windows 10
* Установленное ПО VMware Workstation Pro 15.5.X+
Дополнительные требования будут отправлены по электронной почте перед началом курса.

Все материалы курса будут доступны на Google Диске. Если у вас нет учетной записи Gmail, наш тренер поможет вам ее создать перед началом курса.

ДЕНЬ 1.
-------
В первый день курса вас ознакомят с текущим положением дел в кибербезопасности и самыми последними тенденциями в этой области.

После этого вам расскажут о том, как проходит процесс реагирования на инциденты. Вы узнаете, как выявлять основные факторы, связанные с инцидентом (масштаб и т.п.) и определять критичность инцидента путем анализа всех связанных с ним факторов. Эти знания помогут вам правильно приоритизировать инциденты. Также пройдет обсуждение того, как работать с индикаторами компрометации, как получать их из публичных отчетов и как их использовать для создания YARA-правил для применения в рамках реагирования на инциденты.

ДЕНЬ 2.
-------
Вы изучите лучшие практики сбора данных и создания триаж-копий. Вы также узнаете, как анализировать и приоритизировать цифровые доказательства для более оперативного проведения расследований преступлений.

Далее мы перейдем к обсуждению основных артефактов и их обработки. К артефактам относятся журналы событий, реестр, артефакты файловой системы, а анализ каждого из них позволяет реагировать на инциденты быстрее и эффективнее.

На протяжении всего дня теоретическая часть будет сопровождаться практическим тренингом по сбору и обработке артефактов.

ДЕНЬ 3.
-------
Большая часть дня будет посвящена практическим демонстрациям и индивидуальным заданиям. Вы начнете с самостоятельного выполнения упражнений по созданию триаж-копий. Вы поработаете в виртуальных средах, анализируя образы. Третий день обучения включает два кейса:

Первый кейс ориентирован на сбор и анализ данных удаленного хоста. Слушатели потренируются в использовании KAPE и написании target для получения необходимых артефактов, попробуют проанализировать собранные данные, получить из них полезные индикаторы компрометации и написать на их основе YARA правила. Результатом практики будет реконструкция действий атакующего и набор соответствующих индикаторов компрометации.
Второй кейс также подразумевает снятие и анализ данных с удаленного хоста, но теперь слушателям будет предоставлена возможность провести более глубокий анализ, реконструировать действия атакующих и на основе проведенного исследования составить рекомендации по ликвидации и восстановлению.

Цель третьего дня — применение полученных знаний и уверенное освоение навыков специалиста по реагированию на инциденты.