Digital Forensics Analyst Level 2

Программа интенсива Digital Forensics Analyst: уровень 2 рассчитана на пять дней и предполагает глубокое погружение в специфику трех основных элементов компьютерной криминалистики: методы криминалистического снятия данных, криминалистическую работу с памятью и криминалистику хостов.

Для успешного прохождения курса слушателям желательно обладать следующими знаниями:
---------------------------------------------------------------------------------------------------------
* Навыки и опыт администрирования
* Базовое понимание файловых систем, процессов проведения кибератак и принципов работы ВПО
* Рекомендуется пройти курс Digital Forensics Analyst: уровень 1

Курс начнется с введения в текущую ситуацию в сфере кибербезопасности, включая недавние атаки и современные тенденции. Мы также рассмотрим основные принципы цифровой криминалистики и сбора данных.

Курс включает микс лекций и практических упражнений. Вы также получите доступ к инструментам, необходимым для выполнения заданий. Все инструменты будут из открытых источников, поэтому вы сможете применять их в своей ежедневной практике.

Тренеры покажут, как выполнить задания, после чего дадут возможность самостоятельно завершить работу. Такой метод поможет закрепить полученную информацию и даст возможность поделиться ею с коллегами.

После окончания курса вы сможете:
------------------------------------------------
* Понять методы криминалистического снятия данных и работы с памятью и хостами
* Создавать криминалистические копии
* Проводить анализ дампов памяти
* Обрабатывать и анализировать артефакты на хосте и реконструировать тактики, техники и процедуры (TTP) атакующих

АУДИТОРИЯ:
-----------------------
* Технические специалисты с опытом в информационной безопасности
* Специалисты по информационной безопасности

По итогам курса вы получите:
-------------------------------------
* Видео лекций и практические материалы, используемые в ходе курса
* Именной сертификат о прохождении обучающего курса Group-IB
* Плакат с описанием основных артефактов и инструментов для их обработки
* Ценный опыт и знания, которые вы можете сразу применять

Технические требования
-----------------------
* Для эффективного прохождения курса вам потребуется компьютер, соответствующий следующим критериям:

Оборудование

* Процессор 64-bit 2.0+GHz
* Intel-VT или AMD-V
* ОЗУ: 8+ GB
* Права локального администратора

Программное обеспечение (ПО)
* Последняя версия Windows 10
* Установленное ПО VMware Workstation Pro 15.5.X+

Дополнительные требования будут отправлены по электронной почте перед началом курса.

Все материалы курса будут доступны на Google Диске. Если у вас нет учетной записи Gmail, наш тренер поможет вам ее создать перед началом курса.

ДЕНЬ 1.
Первый день курса посвящен текущей ситуации в кибербезопасности и последним тенденциям в этой области. Вы получите презентацию с подробным описанием принципов кибератак, тактик техник и процедур киберпреступников (ТТP), а также их мотивов и целей. Вы научитесь идентифицировать TTP и индикаторы компрометации из реальных отчетов по угрозам.

ДЕНЬ 2.

Понимание того, где искать цифровые доказательства — это первый шаг на пути к ускорению процесса расследования. Вы изучите основные источники цифровых доказательств, включая файловую систему, реестр и журналы событий. Мы также расскажем про инструменты, необходимые для обработки и анализа этих источников.

Часть дня мы посвятим обсуждению криминалистики хостов. Преподаватели курса расскажут о том, как создавать различные типы криминалистических копий, какие источники артефактов на хосте наиболее важны и как обрабатывать и анализировать подобные артефакты. У вас также будет возможность самостоятельно создать криминалистические копии.

ДЕНЬ 3.

В третий день курса вы научитесь восстанавливать хронологию атак. Мы расскажем о самых важных артефактах на хостах, а также о том, как их обрабатывать и определять, как они вписываются в структуру атаки. Ваши находки позволят вам точно идентифицировать TTP атакующих. К концу дня вы сможете анализировать криминалистические копии и делать собственные выводы о действиях злоумышленников.

ДЕНЬ 4.

Следующая тема — криминалистическая работа с памятью. Вы научитесь делать дамп оперативной памяти и определять альтернативные пути нахождения энергозависимых данных в системах. Тренеры предоставят вам детальную информацию об анализе дампов памяти, техниках выявления аномалий в сетевых соединениях, активных процессах и их памяти.

ДЕНЬ 5.

Последний день курса подразумевает самостоятельную работу. Вам предоставят несколько криминалистических образов, артефакты из которых вы будете анализировать и обрабатывать. По каждому образу будет два набора вопросов: простого и продвинутого уровней сложности. По завершении теста пройдет обсуждение результатов и демонстрация правильных техник и лучших практик для решения поставленных задач