Кому следует посетить
- Консультант-аналитик
- Аналитик ИБ
- Эксплуатация SOC L1 или Оператор системы
- Эксплуатация SOC L2-L3 или Специалист по работе с системой
- Тем, кто готовится сдать сертификацию PT NAD (PT-NAD-CP)
Предварительные требования
Необходимо
- Иметь опыт работы с ОС Linux, Windows и Network
- Пройти модули обучения по PT NAD на уровень Certified Specialist (CS)
- Иметь опыт работы с MaxPatrol SIEM или другими системами SIEM, PT MultiScanner или PT Sandbox, системами IDS, IPS или NGFW и другими продуктами Positive Technologies
Цели курса
Разберем
- Репутационные списки, которые применяются в PT NAD, чем они отличаются друг от друга и в каких случаях они могут вызывать ложные срабатывания
- Как создавать собственные правила для атак
- Что такое ложные срабатывания и чем они вызваны
- Некоторые распространенные ошибки, которые допускают специалисты при проведении расследований
- Как нужно поступать с ложными срабатываниями
- Как реагировать на инциденты
- Содержимое качественного отчета об инциденте
- Как из сотен и тысяч отображаемых в интерфейсе атак выбрать именно те, которые следует проверить первыми
- На что обратить внимание при расследовании
- Как и для чего можно применять запросы через API
- Расследование атак в PT NAD
Содержание курса
Курс охватывает вопросы проектирования инфраструктуры обнаружения атак на базе системы PT Network Attack Discovery (PT NAD), предполагает детальное изучение её функциональных возможностей, а также встроенных в систему механизмов поиска и фильтрации данных об обнаруженных атаках. Курс содержит исчерпывающие сведения по настройке уведомлений, структуре правил, API. В ходе обучения на практических примерах изучаются правила обнаружения сетевых атак, возможности продукта по написанию пользовательских правил, моделируются типовые сценарии действий злоумышленников, рассматриваются методики их расследования.
русский
Россия