PT NAD: проектирование, функциональные возможности и методики расследования атак

PT NAD: проектирование, функциональные возможности и методики расследования атак

Код курса ПТ75, 1 день

Статус

Авторизованный практический курс компании Positive Technologies

Аннотация

Курс охватывает вопросы проектирования инфраструктуры обнаружения атак на базе системы PT Network Attack Discovery (PT NAD), предполагает детальное изучение её функциональных возможностей, а также встроенных в систему механизмов поиска и фильтрации данных об обнаруженных атаках. Курс содержит исчерпывающие сведения по настройке уведомлений, структуре правил, API. В ходе обучения на практических примерах изучаются правила обнаружения сетевых атак, возможности продукта по написанию пользовательских правил, моделируются типовые сценарии действий злоумышленников, рассматриваются методики их расследования.

Аудитория

• Инженеры внедрения и пилотирования
• Операторы и аналитики SOC
• Пресейлы

Для допуска к курсу ПТ75 требуется пройти обучение по курсу ПТ73 «PT NAD: базовая архитектура, особенности установки».

Предварительная подготовка

Для успешного усвоения материала по курсу необходимы:

• Понимание модели ISO/OSI и стека протоколов TCP/IP;
• Практический опыт работы с сетевыми технологиями и протоколами;

Знание матрицы современных тактик и техник атакующих MITRE ATT&CK и способов их обнаружения;

• Опыт работы с инструментами для анализа сетевого трафика, например, Wireshark;

Желательно иметь:

• Знания принципов работы решений IDS/IPS, SIEM, NTA, WAF, Sandbox;
• Знания устройства и функционирования Windows и Linux на уровне администратора;
• Опыт работы с Positive Technologies MaxPatrol SIEM, с Positive Technologies MultiScanner и другими продуктами Positive Technologies;
• Опыт проведения threat hunting в инфраструктуре.
  

  В результате обучения

  Вы приобретете знания:

• о том, как работать с интерфейсом;
• о работе аналитика;
• о том, как анализировать трафик и детектировать угрозы;

Вы сможете:

• самостоятельно выявлять атаки в сетевом трафике на периметре и внутри сети;
• обнаруживать нарушения регламентов ИБ, выявляемые при анализе сетевого трафика;
• расследовать атаки;
• показательно проводить аналитику на «пилотах»

Пакет слушателя

• Авторизованное учебное пособие.
• Комплект продуктов, использованных в рамках курса, документация к ним, технические замечания, FAQ и другие документы в электронном виде.

Дополнительно

После прохождения базового курса по MaxPatrol SIEM выпускники получают:

• свидетельства об обучении Учебного центра "Информзащита",
• сертификаты о прохождении авторизованного курса от компании Positive Technologies.

Курс является этапом подготовки к экзамену NAD CP

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

• Интерфейс. Администрирование.
• Интерфейс. Уведомления, справка, настройка профиля.
• Интерфейс. Дашборды.
• Интерфейс. Сессия.
• Интерфейс. Атаки, сетевые связи.
• Поиск и фильтрация.
• Репутационные списки.
• Правила в PT NAD. О срабатывании правил. Добавление собственных правил. Что детектируют правила? Структура правила. Пример написания правила.
• API

Практические задания:

• Практическое задание 1. Фильтрация разобранных HTTP-сессий.
• Практическое задание 2. Выявление цепочек заражения.
• Практическое задание 3. Восстановление цепочки атак на домен.
• Практическое задание 4. Распространение ВПО через рассылку.