Аналитик SOC Hack The Box (HTB CDSA) . Часть 1 [HTB Academy]

Складчина: Аналитик SOC Hack The Box (HTB CDSA) . Часть 1 [HTB Academy]

SOC Analyst Hack The Box Часть 1 [HTB Academy]​

Язык: английский + машинный перевод с английского языка на русский



Программа подготовки аналитиков SOC предназначена для новичков в сфере информационной безопасности, стремящихся стать профессиональными аналитиками SOC. Эта программа охватывает основные концепции мониторинга и анализа безопасности, а также обеспечивает глубокое понимание специализированных инструментов, тактики атак и методологии, используемых злоумышленниками. Обладая необходимым теоретическим опытом и выполняя многочисленные практические упражнения, студенты пройдут все этапы анализа безопасности, от анализа трафика и мониторинга SIEM до деятельности в области цифровой криминалистики и реагирования на инциденты (DFIR) и составления отчетов. По завершении этой программы вы получите практические навыки и образ мышления, необходимые для мониторинга инфраструктуры корпоративного уровня и обнаружения вторжений на среднем уровне. Предварительные знания, необходимые для успешной работы по этой программе, можно считать обязательными.

Ключевые темы курса:

• Процесс обработки инцидентов
• Основы мониторинга безопасности и SIEM
• Журналы событий Windows и поиск зла
• Введение в поиск угроз и поиск угроз с помощью Elastic
• Анализ источников логов и проведение расследований с помощью Splunk
• Атаки и защита Windows
• Введение в анализ сетевого трафика
• Промежуточный анализ сетевого трафика
• Работа с системами обнаружения и предотвращения вторжений (IDS/IPS).
• Введение в анализ вредоносного ПО
• Деобфускация JavaScript
• YARA и Sigma для аналитиков SOC
• Введение в цифровую криминалистику
• Обнаружение атак на Windows с помощью Splunk
• Сообщение об инцидентах безопасности

Содержание первой части:

• Модуль 1. Процесс обработки инцидентов: Обработка инцидентов безопасности стала жизненно важной частью стратегии защиты каждой организации, поскольку атаки постоянно развиваются, а успешные взломы происходят ежедневно. В этом модуле мы рассмотрим процесс обработки инцидента, начиная с самой ранней стадии обнаружения подозрительного события и заканчивая подтверждением взлома и реагированием на него.
• Модуль 2. Основы мониторинга безопасности и SIEM Этот модуль предоставляет краткий, но всеобъемлющий обзор систем управления информацией и событиями безопасности (SIEM) и Elastic Stack. Он объясняет основные принципы работы центра оперативного управления безопасностью (SOC), рассматривает применение фреймворка MITRE ATT&CK в SOC и знакомит с разработкой запросов SIEM (KQL). Уделяя особое внимание практическим навыкам, студенты научатся разрабатывать сценарии использования и визуализации SIEM с помощью Elastic Stack.
• Модуль 3. Журналы событий Windows и поиск зла: Этот модуль посвящен изучению журналов событий Windows и их значению для выявления подозрительной активности. В ходе курса мы подробно рассмотрим структуру журналов событий Windows и выделим те записи, которые содержат наиболее ценную информацию для расследований. Модуль также фокусируется на использовании Sysmon и журналов событий для обнаружения и анализа вредоносного поведения. Кроме того, мы рассмотрим трассировку событий для Windows (ETW), объясним ее архитектуру и компоненты, а также приведем примеры обнаружения на основе ETW. Для упрощения процесса анализа мы представим мощный командлет Get-WinEvent.
• Модуль 4. Введение в поиск угроз и поиск угроз с помощью Elastic: Этот модуль изначально закладывает основу для понимания поиска угроз, начиная с его базового определения и заканчивая структурой команды по поиску угроз. Модуль также углубляется в процесс поиска угроз, подчеркивая взаимосвязь между поиском угроз, оценкой рисков и обработкой инцидентов. Кроме того, модуль разъясняет основы киберугрозовой аналитики (CTI). Он расширяет информацию о различных типах угроз и предлагает рекомендации по эффективной интерпретации отчета об угрозах. Наконец, модуль применяет теорию на практике, демонстрируя, как проводить поиск угроз с использованием стека Elastic. В этом практическом сегменте используются реальные журналы, чтобы предоставить обучающимся практический опыт.
• Модуль 5. Анализ источников логов и проведение расследований с помощью Splunk: Этот модуль представляет собой всестороннее введение в Splunk, с акцентом на его архитектуру и создание эффективных поисковых запросов на языке SPL (Search Processing Language), ориентированных на обнаружение угроз. Мы научимся проводить расследования с помощью Splunk как инструмента SIEM и разрабатывать поисковые запросы на основе тактики, методов и процедур (TTP) и аналитики для повышения эффективности обнаружения угроз и реагирования на них. В ходе практических упражнений мы научимся идентифицировать и понимать поступающие данные и доступные поля в Splunk. Мы также получим практический опыт использования мощных функций Splunk для мониторинга безопасности и расследования инцидентов.
• Модуль 6. Атаки и защита Windows: Microsoft Active Directory (AD) на протяжении более 20 лет является ведущим корпоративным пакетом для управления доменами, предоставляя управление идентификацией и доступом, централизованное администрирование доменов, аутентификацию и многое другое. За эти годы, чем больше наши приложения и данные интегрировались с AD, тем более уязвимыми становились для крупномасштабных атак. В этом модуле мы рассмотрим наиболее распространенные и эффективные атаки на среды Active Directory, которые позволяют злоумышленникам осуществлять горизонтальное и вертикальное повышение привилегий в дополнение к горизонтальному перемещению. Одна из основных целей модуля — продемонстрировать методы предотвращения и обнаружения рассматриваемых атак на Active Directory.
• Модуль 7. Введение в анализ сетевого трафика: Анализ сетевого трафика используется группами безопасности для мониторинга сетевой активности и поиска аномалий, которые могут указывать на проблемы безопасности и функционирования. Специалисты по наступательной безопасности могут использовать анализ сетевого трафика для поиска конфиденциальных данных, таких как учетные данные, скрытые приложения, доступные сегменты сети или другая потенциально конфиденциальная информация, передаваемая «по сети». Анализ сетевого трафика имеет множество применений как для злоумышленников, так и для защитников.
• Модуль 8. Промежуточный анализ сетевого трафика: Этот модуль, посредством анализа сетевого трафика, оттачивает навыки обнаружения атак на канальном уровне, таких как аномалии ARP и несанкционированные точки доступа, выявления сетевых аномалий, таких как подмена IP-адресов и нарушения рукопожатия TCP, а также обнаружения угроз на прикладном уровне, от уязвимостей в веб-среде до специфических действий DNS.

Спойлер: Оригинал описания:

The SOC Analyst Job Role Path is for newcomers to information security who aspire to become professional SOC analysts. This path covers core security monitoring and security analysis concepts and provides a deep understanding of the specialized tools, attack tactics, and methodology used by adversaries. Armed with the necessary theoretical background and multiple practical exercises, students will go through all security analysis stages, from traffic analysis and SIEM monitoring to DFIR activities and reporting. Upon completing this job role path, you will have obtained the practical skills and mindset necessary to monitor enterprise-level infrastructure and detect intrusions at an intermediate level. The SOC Analyst Prerequisites skill path can be considered prerequisite knowledge to be successful while working through this job role path.

Incident Handling Process
Security Incident handling has become a vital part of every organization's defensive strategy, as attacks constantly evolve and successful compromises are becoming a daily occurrence. In this module, we will review the process of handling an incident from the very early stage of detecting a suspicious event to confirming a compromise and responding to it.

Security Monitoring & SIEM Fundamentals
This module provides a concise yet comprehensive overview of Security Information and Event Management (SIEM) and the Elastic Stack. It demystifies the essential workings of a Security Operation Center (SOC), explores the application of the MITRE ATT&CK framework within SOCs, and introduces SIEM (KQL) query development. With a focus on practical skills, students will learn how to develop SIEM use cases and visualizations using the Elastic Stack.

Windows Event Logs & Finding Evil
This module covers the exploration of Windows Event Logs and their significance in uncovering suspicious activities. Throughout the course, we delve into the anatomy of Windows Event Logs and highlight the logs that hold the most valuable information for investigations. The module also focuses on utilizing Sysmon and Event Logs for detecting and analyzing malicious behavior. Additionally, we delve into Event Tracing for Windows (ETW), explaining its architecture and components, and provide ETW-based detection examples. To streamline the analysis process, we introduce the powerful Get-WinEvent cmdlet.

Introduction to Threat Hunting & Hunting With Elastic
This module initially lays the groundwork for understanding Threat Hunting, ranging from its basic definition, to the structure of a threat hunting team. The module also dives into the threat hunting process, highlighting the interrelationships between threat hunting, risk assessment, and incident handling. Furthermore, the module elucidates the fundamentals of Cyber Threat Intelligence (CTI). It expands on the different types of threat intelligence and offers guidance on effectively interpreting a threat intelligence report. Finally, the module puts theory into practice, showcasing how to conduct threat hunting using the Elastic stack. This practical segment uses real-world logs to provide learners with hands-on experience.

Understanding Log Sources & Investigating with Splunk
This module provides a comprehensive introduction to Splunk, focusing on its architecture and the creation of effective detection-related SPL (Search Processing Language) searches. We will learn to investigate with Splunk as a SIEM tool and develop TTP-driven and analytics-driven SPL searches for enhanced threat detection and response. Through hands-on exercises, we will learn to identify and understand the ingested data and available fields within Splunk. We will also gain practical experience in leveraging Splunk's powerful features for security monitoring and incident investigation.

Windows Attacks & Defen
Network traffic analysis is used by security teams to monitor network activity and look for anomalies that could indicate security and operational issues. Offensive security practitioners can use network traffic analysis to search for sensitive data such as credentials, hidden applications, reachable network segments, or other potentially sensitive information "on the wire." Network traffic analysis has many uses for attackers and defenders alike.

Intermediate Network Traffic Analysis
Through network traffic analysis, this module sharpens skills in detecting link layer attacks such as ARP anomalies and rogue access points, identifying network abnormalities like IP spoofing and TCP handshake irregularities, and uncovering application layer threats from web-based vulnerabilities to peculiar DNS activities.

Полный курс состоит из 15-ти модулей
Дата релиза: 2026
Перевод: перевод с английского языка на русский
Формат: файл pdf

Цена 4625руб. (61 доллар)
Скрытая ссылка

Часть 1 - эта складчина
Часть 2