Овој курс е наменет за обука на персонал за сајбер-безбедност кој има за цел откривање, задржување и отстранување на напади со малициозни софтвери преку анализа на записи и настани. Целата на обуката е да го обучи персоналот во координирани активностите при одговор на инциденти вклучително и тактики за комуникација при кризи со извршните директори и засегнатите страни. Преку лаборатории и реални сценарија, учесниците ќе учат да ги трансформираат необработените безбедносни податоци во активна разузнавачка информација и да извршуваат сигурни, добро комуницирани планови за одговор.
Преглед на курсот
| Партнер | Воена академија генерал Михаило Апостолски – Скопје |
| Наслов | Напредна одбрана и мрежен мониторинг |
| Сервис | Сајбер безбедност |
| Целна група | ИТ/сајбер безбедносен персонал во организации кои имаат за цел имплементација или оптимизација на SIEM решенија |
| Формат | Лична обука (со практични вежби/лаборатории) |
| Фокус на клучни технологии | Купишта за откривање откупни софтвери, EDR, SIEM, доводи Threat-Intel, платформи за одговор на инциденти |
| Статус | Подготвен за понуда |
| Засегнати страни од страна на МСП/ЈА | Мали до средни претпријатија, јавни агенции, тимови за ИТ безбедност |
| Барања за учество | Основно/средно мрежно знаење, познавање со околините на Linux/Windows и некои основи за сајбер безбедноста |
| Проценето времетраење | Дводневен (приближно 16 часа) |
ОПИС НА КУРСОТ
Вовед
Ефикасната одбрана бара проактивно следење, брза тријажа на инцидентот и јасна комуникација при работа под притисок. Овој курс е креиран со цел обука на персоналот за сајбер безбедност во користење на технички и процедурални вештини при справување со сајбер инциденти. Главен фокус е раното откривање на малициозен софтвер преку SIEM аналитика и воспоставување на ефикасност при комуникација и координирање во кризна состојба за да се одржи довербата на засегнатите страни.
Технички контекст и примери
Учесниците ги конфигурираат правилата на SIEM за да ги детектираат индикаторите за малициозен софтвер (на пр., масовни модификации на датотеки, аномален мрежен сообраќај), интегрираат извори на разузнавачки информации за закана и практикуваат одговор од целиот животен циклус при симулирани прекршувања. Преку студии на случај од реалниот свет (на пр., WannaCry, Conti) се покажува цената на одложеното откривање и моќта на извежбаните реакции при дефинирани планови за комуникација.
Детално објаснување на основните концепти
- Kill-chain фази, телеметрија за рано предупредување, подесување на EDR, проверки на интегритетот на резервните записи, непроменливо складирање
- Шеми за собирање дневници, парсирање и збогатување, правила за корелација, прегледи за извршни директори
- Фази на одговор при инциденти (подготвување, откривање, содржи, искоренување, обновување), автоматизација на сетови со правила, јавни пораки, временски рокови за регулаторни известувања
Прелиминарна агенда на курсот
- Вовед во курсот
- Модул 1: Тактики за обрана и нарушување на синџир на напад (Kill Chain)
- Модул 2: Основи на SIEM и управување со записи
- Модул 3: Напредна аналитика и обединување на извори на информации за закани
- Модул 4: Оркестрација на одговор на инциденти
- Модул 5: Кризна комуникација и управување со засегнатите страни
- Завршен испит: Практично оценување
Заклучок и единствена вредност:
До крајот на овој курс, учесниците ќе можат ефективно да распоредат, одржуваат и да ги имаат основите во работењето на SIEM решение со отворен код. Тие ќе развијат вештини за следење на безбедносните настани во реално време, ќе интегрираат разузнавачки информации за заканите во нивните процеси за откривање и ќе организираат брза реакција на инциденти.
Дополнителни информации за курсот
| Категорија | Детали |
| Развиени вештини | Учесниците ќе стекнат знаења и вештини, вклучувајќи: |
| • Изработка и усогласување SIEM логика за откривање за индикатори за малициозни активности
• Извршување на процедури за брзо задржување и форензичка тријажа • Изготвување шаблони за кризна комуникација и управување со извршните брифинзи • Координирање на технички и не технички тимови за време на инциденти со висок стрес |
|
| Методи на учење | • Инструктор води предавања и сесии на бела табла
• Водени лаборатории со платформи SIEM/EDR и IR платформи • Групни вежби на маса за практика на кризна комуникација |
| Референци/Ресурси | • NIST SP800 61r2 – Водич за справување со инциденти со компјутерска безбедност
• MITER ATT&CK и D3FEND за техники и ублажување на откупни софтвери • FIRST Traffic Light Protocol (TLP) за дисциплина за споделување информации • Документи од добавувачи за водечки SIEМ/EDR решенија |