Аватар пользователя

Поиск угроз с помощью средств с открытым исходным кодом

5 дней
-
0 тестов
0 участников

Курс: Поиск угроз с помощью средств с открытым исходным кодом (Threat Hunting with Open Source Tools)

Поиск угроз (Threat Hunting) — это проактивный подход к выявлению потенциальных угроз, которые могли остаться незамеченными традиционными средствами защиты. Этот курс посвящен использованию инструментов с открытым исходным кодом для анализа данных, поиска вредоносной активности и устранения угроз в сетях и системах.

Цели курса:

  1. Научить участников концепциям и процессам поиска угроз.
  2. Познакомить с инструментами и платформами с открытым исходным кодом для анализа угроз.
  3. Развить практические навыки анализа сетевого трафика, логов и поведения систем.
  4. Обучить методам корреляции данных для выявления сложных угроз.

Программа курса:

1. Введение в поиск угроз (Threat Hunting):

  • Основные концепции и подходы к поиску угроз.
  • Различия между реактивной и проактивной безопасностью.
  • Роль поиска угроз в рамках SOC (Security Operations Center).

2. Методы поиска угроз:

  • Идентификация индикаторов компрометации (IoC) и индикаторов атаки (IoA).
  • Поведенческий анализ и профилирование.
  • Использование MITRE ATT&CK Framework для построения сценариев поиска.

3. Обзор инструментов с открытым исходным кодом:

  • ELK Stack (Elasticsearch, Logstash, Kibana): анализ логов и визуализация данных.
  • Wireshark: анализ сетевого трафика.
  • Suricata: система обнаружения и предотвращения вторжений.
  • Osquery: получение информации о состоянии систем и их активности.
  • YARA: поиск вредоносных файлов и шаблонов поведения.
  • MISP (Malware Information Sharing Platform): обмен информацией об угрозах.

4. Анализ сетевого трафика:

  • Сбор и анализ сетевых данных с помощью Wireshark и Suricata.
  • Поиск аномалий в трафике: подозрительные IP, нехарактерные протоколы.
  • Визуализация сетевой активности с использованием Kibana.

5. Анализ логов и событий:

  • Сбор и корреляция логов с использованием Logstash и Elasticsearch.
  • Идентификация подозрительных событий в системных и приложенческих логах.
  • Настройка дашбордов для мониторинга активности.

6. Автоматизация поиска угроз:

  • Настройка автоматических правил для обнаружения аномалий.
  • Использование Python и Jupyter Notebook для анализа данных и создания скриптов.
  • Интеграция открытых инструментов для упрощения управления угрозами.

7. Практические упражнения:

  • Моделирование угроз и их обнаружение с использованием YARA и Suricata.
  • Реальные кейсы: анализ атаки типа «фишинг», «вредоносное ПО», «атака на сервер».
  • Построение сценария поиска угроз с использованием MITRE ATT&CK.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *