Suricata

امیر علی‌بیگی
امیر علی‌بیگی
  • پیشرفته مقدماتی
  • مسیر آبی
    •
  • ۲ درس
مهلت ثبت‌نام:
  :    :  
۲,۹۰۰,۰۰۰ تومان
ثبت‌نام سازمانی این دوره
تاریخ شروع
۲۵ دی ۱۴۰۴
طول دوره
۱۰ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۳۰ نفر باقی مانده
نوع برگزاری
آنلاین
ارتباط با واحد آموزش ثبت‌نام اقساطی

دربارۀ این دوره

دورهٔ Suricata، از مقدماتی تا پیشرفته، با هدف ارائۀ آموزشی جامع، کاربردی و مبتنی‌بر تجربهٔ عملی در حوزهٔ سیستم‌های تشخیص و جلوگیری از نفوذ متن‌باز طراحی شده است.

در این دوره، شرکت‌کنندگان ابتدا با مفاهیم بنیادین تشخیص نفوذ آشنا می‌شوند و سپس مباحثی مانند معماری چندریسمانی (Multi-threaded)، نصب و پیکربندی عملیاتی، مدیریت و بهینه‌سازی قوانین و تحلیل عمیق لاگ‌های Suricata را به‌صورت عملی فرا می‌گیرند.

در بخش پیشرفته، موضوعاتی همچون GeoIP، استخراج فایل (File Extraction)، استفادهٔ حرفه‌ای از Flowbits و Xbits در قوانین پویا، تحلیل لاگ‌های EVE (JSON) و یکپارچه‌سازی Suricata با ELK Stack و سایر SIEMها آموزش داده می‌شود.

 

هدف نهایی دوره، توانمندسازی شرکت‌کنندگان برای پیاده‌سازی، بهینه‌سازی و نگهداری یک سیستم IDS/IPS پایدار، مقیاس‌پذیر و هوشمند است؛ سیستمی که بدون اتکا به محصولات تجاری، در محیط‌های عملیاتی و سازمانی قابل استفاده باشد. مثال‌های واقعی، روش‌های رفع خطاهای رایج و الگوهای استقرار در محیط‌های SOC نیز به‌صورت گام‌به‌گام و قابل تکرار ارائه شده‌اند.

 

این دوره، در دو بخش ارائه می‌شود:

  • بخش اول: مقدماتی تا متوسط، مناسب افرادی است که قصد دارند Suricata را برای نخستین بار راه‌اندازی کنند.
  • بخش دوم: متوسط تا پیشرفته، مناسب تحلیلگران حرفه‌ای، اعضای Blue Team و افرادی است که به‌دنبال استقرار Suricata در محیط‌های تولیدی هستند.

 

این دوره، تنها مختص افراد مبتدی نیست، بلکه به‌گونه‌ای طراحی شده است که دانش‌پذیران سطح مقدماتی بتوانند از صفر آغاز کنند و به سطح عملیاتی برسند؛ کارشناسان Tier 2 و Tier 3 بتوانند از مباحث پیشرفته مانند توسعهٔ قوانین هوشمند، یکپارچه‌سازی با ELK و بهینه‌سازی عملکرد در حجم بالا بهره ببرند و متخصصان حرفه‌ای نیز با نکات عمیق تخصصی، مقایسه‌های عملی با ابزارهای رقیب مانند Snort و Zeek و روش‌های رفع چالش‌های پیچیده مانند Evasion Detection و تنظیم قوانین براساس False Positive Rate، ارزش افزودۀ واقعی دریافت کنند.

 

مدت‌زمان این دوره، ۱۰ ساعت است که طی ۵ جلسۀ ۲ساعته، روزهای پنجشنبۀ هر هفته از ساعت ۹ تا ۱۱، به‌صورت آنلاین برگزار خواهد شد. شروع این دوره، از روز پنجشنبه ۲۵ دی‌ماه خواهد بود.

 

مخاطبان

  • کارشناسان SOC (به‌ویژه سطوح Tier 2 و Tier 3)
  • تیم‌های Blue Team و تحلیلگران تهدید (Threat Hunters)
  • متخصصان امنیت شبکه و معماران امنیتی
  • محققان امنیتی و علاقه‌مندان به سیستم‌های متن‌باز IDS/IPS
  • افراد علاقه‌مند به بهره‌گیری از Suricata، در کنار یا به‌جای Snort/Zeek در خط دفاعی سازمان

پیش‌نیازها

  • آشنایی عملی با پشتهٔ TCP/IP و پروتکل‌های رایج شبکه (HTTP ،DNS ،SMB ،TLS و...)
  • تجربهٔ کار با محیط خط فرمان لینوکس (نصب بسته، مدیریت سرویس، پردازش متن با grep ،jq ،awk و…)
  • آشنایی مقدماتی با ابزارهای تحلیل ترافیک مانند Tcpdump یا Wireshark
  • دانش کلی از مفاهیم امنیت اطلاعات (IOC ،MITRE ATT&CK، مدل دفاعی و لاگ‌های امنیتی)

سرفصل‌ها

  • بخش اول: مقدماتی تا متوسط
    • مقدمه‌ای بر IDS/IPS و معماری Suricata
      • تفاوت IDS ،IPS و NIDS
      • مقایسۀ Suricata با Snort و Zeek
      • معماری Multi-Threaded Suricata
    • نصب و پیکربندی اولیه
      • نصب از طریق پکیج (APT/YUM) Vs کامپایل از سورس
      • بررسی فایل Suricata.yaml
      • تنظیمات پایه: Interface ،Logها و Rule Directories
      • نحوۀ اجرا کردن Suricata (سرویس و کامندی یا دستی)
    • درک ساختار Rules
      • ساختار header + options :Rule
      • فیلدهای کلیدی: rev ،msg ،classtype و sid
      • عملگرهای content ،pcre ،uricontent ،http :_*match
    • اجرای Suricata در حالت‌های مختلف
      • حالت IDS (passive)
      • حالت IPS (با AF_PACKET یا NFQ)
      • تست با Pcap و Live Traffic
    • لاگ‌گیری و تحلیل خروجی‌ها
      • فرمت‌های لاگ
      • استفاده از jq برای تحلیل EVE-JSON
      • ادغام با SIEM مانند ELK
    • مدیریت قوانین
      • استفاده از ET Open ،Emerging Threats) Rule Sets)
      • به‌روزرسانی خودکار قوانین با Suricata-Update
      • غیرفعال و فعال کردن قوانین با Disable.Conf
  • بخش دوم: متوسط تا پیشرفته
    • GeoIP و تحلیل مکانی ترافیک
      • دانلود و نصب GeoLite2 DB از MaxMind
      • پیکربندی در suricata.yaml
      • نوشتن قوانین براساس کشور مبدأ و مقصد
      • محدودیت‌ها و دقت GeoIP
    • استخراج و تحلیل فایل File Extraction
      • تحلیل انواع Pcap
    • توسعۀ قانون‌های پیچیده
      • استفاده از Flowbits برای ردیابی Session
      • قوانین چندمرحله‌ای (Multi-Packet Detection)
      • استفاده از Xbits برای اشتراک‌گذاری بین Ruleها
    • ادغام با سیستم‌های خارجی
      • ادغام با ELK برای داشبورد

گواهینامه‌ی دوره

گواهی‌نامه

دوره های مشابه

transition-all"]

دیدگاه‌ها

اولین نفری باشید که دیدگاه خود را ثبت می‌کنید.