Обработка инцидентов кибербезопасности

направление: Информационная безопасность

Даты проведения курса

12.05.2025 Москва записаться

Материал данного курса позволит слушателям изучить процессы, техники и инструменты обработки инцидентов кибербезопасности. Материал курса охватывает также вопросы организации процессов обработки инцидентов кибербезопасности и их встраивания в общую архитектуру корпоративной кибербезопасности.

Предварительные требования к аудитории:

Необходимо обладать знаниями о мониторинге событий и инцидентов кибербезопасности на уровне курса Мониторинг событий и инцидентов кибербезопасности

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.

Программа курса

Модуль 1 – Цикл жизни кибератак.

Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.

Модуль 2 – Методология обработки инцидентов кибербезопасности.

Процесс обработки инцидентов.
Инструменты и инфраструктура для обработки инцидентов.
Мониторинг событий и инцидентов.
Цифровая криминалистика в рамках обработки инцидентов.

Модуль 3 – Реагирование на инциденты кибербезопасности.

Начальная реакция на инцидент.
Подтверждение инцидента.
Определение масштаба инцидента.
Разработка и применение немедленных мер по сдерживанию инцидента.
Разработка мер расширенного мониторинга инфраструктуры.
Разработка мер ликвидации вредоносной активности.
Разработка хронологии ликвидации вредоносной активности.
Специфика реакции на инциденты, связанные с базами данных.

Модуль 4 – Расширенный мониторинг инфраструктуры.

Расширенный мониторинг сети.
Расширенный мониторинг конечных устройств.
Расширенный мониторинг сервисов и приложений.
Отслеживание инцидента с помощью индикаторов компрометации.
Использование флагов и маяков в IT-инфраструктуре для мониторинга.

Модуль 5 – Цифровая криминалистика.

Процесс проведения криминалистических исследований.
Инструменты цифровой криминалистики.
Артефакты файловых и операционных систем.
Артефакты оперативной памяти.
Восстановление хронологии событий по артефактам кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.
Diamond модель и TTP[Tactics, Technics, Procedures] информация.

Модуль 6 – Ликвидация вредоносной активности.

Использование индикаторов компрометации для обнаружения вредоносной активности.
Ликвидация вредоносной активности в сети.
Ликвидация вредоносной активности на конечных устройствах.
Ликвидация вредоносной активности сервисов и приложений.
Документирование процесса и результатов ликвидации вредоносной активности.

Модуль 7 – Обработка инцидентов в архитектуре корпоративной кибербезопасности.

Архитектура корпоративной кибербезопасности.
Рекомендации по стратегической модернизации процессов и архитектуры корпоративной кибербезопасности на основе данных об инцидентах.
Встраивание процессов обработки инцидентов в процессы корпоративной кибербезопасности.

Обработка инцидентов кибербезопасности

Аудитория курса:

Заказ Обратного звонка