PT NAD: проектирование, функциональные возможности и методики расследования атак

PT NAD: проектирование, функциональные возможности и методики расследования атак

Код курса ПТ75, 2 дня

Статус

Авторизованный практический курс компании Positive Technologies

Аннотация

Курс охватывает вопросы проектирования инфраструктуры обнаружения атак на базе системы PT Network Attack Discovery (PT NAD), предполагает детальное изучение её функциональных возможностей, а также встроенных в систему механизмов поиска и фильтрации данных об обнаруженных атаках. Курс содержит исчерпывающие сведения по настройке уведомлений, структуре правил, API. В ходе обучения на практических примерах изучаются правила обнаружения сетевых атак, возможности продукта по написанию пользовательских правил, моделируются типовые сценарии действий злоумышленников, рассматриваются методики их расследования.

Аудитория

• Консультант-аналитик
• Аналитик ИБ
• Эксплуатация SOC L1 или Оператор системы
• Эксплуатация SOC L2-L3 или Специалист по работе с системой
• Тем, кто готовится сдать сертификацию PT NAD (PT-NAD-CP)

Для допуска к курсу ПТ75 требуется пройти обучение по курсу ПТ73 «PT NAD: базовая архитектура, особенности установки».

Предварительная подготовка

Для успешного усвоения материала по курсу необходимо:

• Иметь опыт работы с ОС Linux, Windows и Network
• Иметь опыт работы с MaxPatrol SIEM или другими системами SIEM, PT MultiScanner или PT Sandbox, системами IDS, IPS или NGFW и другими продуктами Positive Technologies

В результате обучения

Вы приобретете знания:

• о репутационных списках, которые применяются в PT NAD. Узнаете, чем они отличаются друг от друга и в каких случаях они могут вызывать ложные срабатывания
• о создании собственных правила для атак
• о ложных срабатываниях и чем они вызваны
• о распространенных ошибках, которые допускают специалисты при проведении расследований
• о том, как нужно поступать с ложными срабатываниями
• о том, как реагировать на инциденты
• о содержимом качественного отчета об инциденте
• о том, как из сотен и тысяч отображаемых в интерфейсе атак выбрать именно те, которые следует проверить первыми
• о том, на что стоит обратить внимание при расследовании
• о том, как и для чего можно применять запросы через API
• о расследовании атак в PT NAD

Пакет слушателя

• Авторизованное учебное пособие.
• Комплект продуктов, использованных в рамках курса, документация к ним, технические замечания, FAQ и другие документы в электронном виде.

Дополнительно

После прохождения базового курса по MaxPatrol SIEM выпускники получают:

• свидетельства об обучении Учебного центра "Информзащита",
• электронное свидетельство о прохождении авторизованного курса от компании Positive Technologies

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Курс является этапом подготовки к экзамену PT-NAD-CP

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

• Репутационные списки и правила
• Создание собственных правил
• Распространенные ошибки
• Типовые срабатывания
• Примеры атак
• Реагирование на инциденты
• Вы впервые открыли интерфейс «боевого» PT NAD
• Проведение расследования
• 8 примеров расследований