Реагирование на инциденты ИБ

В первый день участники освоят методы сбора данных и инструменты для анализа киберинцидентов. Особое внимание будет уделено ключевым источникам данных и их роли в triage-копии диска компьютера – первичному объекту исследования. Участники разберут принципы анализа журналов событий и научатся извлекать из них важную информацию. Завершит день работа с индикаторами компрометации (IoCs), пример создания правила обнаружения индикаторов компрометации и практическое расследование реального кейса

Во второй день участники сосредоточатся на анализе артефактов ОС Windows и файловой системы NTFS. Они изучат наиболее важные артефакты, которые применяются при расследовании инцидентов, и разберут их ключевую роль в процессе реагирования, а также получат практический плейбук по реагированию на инциденты. Полученные знания участники закрепят на практике, самостоятельно исследуя артефакты и применяя их для восстановления картины инцидента на примере кейса, основанного на реальном сценарии атаки

На третьем дне участникам предстоит разобрать ещё один реальный кейс для практической отработки навыков. Они научатся собирать и анализировать необходимые данные, реконструировать хронологию атаки и разработать план дальнейших действий. В завершение дня будет проведён разбор инцидентов с Linux-хостами, на котором участники изучат основные принципы анализа таких инцидентов и базовые способы выявления угроз в ОС Linux