+SOC
+SOC
پس از پرداخت اطلاعات به ایمیل شما ارسال خواهد شد
+SOC
پس از تایید پرداخت، ثبت نام اقساطی شما تکمیل میشود
- متوسط مقدماتی
- مسیر آبی
- ۹ درس
دربارۀ این دوره
دورۀ +SOC با هدف آمادهسازی عملی نیروهای تازهوارد برای ورود به محیط عملیاتی مرکز عملیات امنیت (SOC) طراحی شده است. در این دوره تلاش میکنیم فاصلۀ میان دانش تئوریک امنیت اطلاعات و واقعیتهای عملیاتی شیفت SOC را از بین ببریم و شرکتکنندگان را برای تحلیل هشدارهای واقعی در محیط سازمانی توانمند سازیم.
در بسیاری از سازمانها، چالش اصلی در سطح Tier1 کمبود ابزار نیست، بلکه ضعف در «تفکر تحلیلی، درک صحیح هشدار و تصمیمگیری مبتنیبر شواهد» است. این دوره، با تمرکز بر مهارتهای عملیاتی، تفکر مبتنیبر لاگ و فرایند استاندارد تریاژ، شرکتکنندگان را به سطحی میرساند که بتوانند بهصورت مستقل هشدارهای رایج را بررسی، طبقهبندی و مستندسازی کنند.
در پایان دوره، شرکتکنندگان قادر خواهند بود:
- تفاوت Log ،Alert و Incident را توضیح دهند.
- ساختار و چرخۀ عملیاتی SOC را درک کنند.
- یک هشدار امنیتی را تریاژ کنند (تشخیص False Positive و True Positive).
- روی دادههای SIEM جستوجو و Pivot انجام دهند.
- Timeline ساده از رویدادها ایجاد کنند.
- IOCها (IP ،Domain و Hash) را Enrich کنند.
- گزارش Incident استاندارد یکصفحهای تهیه کنند.
- Escalation صحیح انجام دهند.
مدتزمان این بوتکمپ، ۱۶ ساعت است که طی ۲ جلسۀ ۸ساعته، روز چهارشنبه ۵ و پنجشنبه ۶ فروردینماه ۱۴۰۵، از ساعت ۹ تا ۱۷ بهصورت حضوری برگزار خواهد شد.
مخاطبان
- نیروهای تازهوارد به SOC
- کارشناسان IT درحال انتقال به حوزۀ امنیت، تحلیلگران سطح ۱
پیشنیازها
- آشنایی مقدماتی با شبکه و سیستمعامل ویندوز
- آشنایی اولیه با مفاهیم امنیت اطلاعات
سرفصلها
-
آشنایی با SOC و چهارچوب عملیاتی
-
نقش Tier1 در SOC
-
چرخۀ Detect → Triage → Investigate → Escalate
-
تفاوت Log ،Alert و Incident
-
خطاهای رایج تحلیلگران تازهکار
-
مفهوم Queue ،SLA و مدیریت هشدار
-
آشنایی با پلتفرم MITRE Attack
-
-
کالبدشکافی هشدار (Anatomy of an Alert)
-
Rule Logic چیست؟
-
Context چه نقشی دارد؟
-
Severity در مقابل Risk
-
الگوهای False Positive
-
Alert Fatigue
-
تمرین عملی: تحلیل یک هشدار نمونه و استخراج عناصر کلیدی آن
-
-
مبانی Log و Telemetry در SOC
-
Network Logs
-
DNS
-
HTTP/HTTPS
-
Firewall
-
NetFlow
-
NIDS
-
-
Endpoint Logs
-
Windows Event ID 4624 (Logon)
-
Windows Event ID 4625 (Failed Logon)
-
Windows Event ID 4688 (Process Creation)
-
مفهوم Parent / Child Process
-
Linux Authentication Logs
-
-
تمرین عملی
-
تشخیص یک حملۀ brute-force از روی لاگها
-
تشخیص حملۀ Exfiltration از روی حجم دیتای خارجشده
-
تشخیص یک حمله با استفاده از لاگهای Network و End Point
-
-
-
تفکر و جستوجوی Pivot در SIEM
-
محدودسازی بازۀ زمانی (Time Bounding)
-
جستوجوی مبتنیبر فیلد
-
تکنیکهای Pivot
-
IP → Host → User
-
User → Logon → Process
-
Hash → Endpoint
-
-
ساخت Timeline از رویدادهای پراکنده
-
تمرین عملی: ایجاد تایملاین یک سناریوی ساده
-
-
تریاژ حرفهای هشدارها
-
تفاوت False Positive ،Benign و Malicious
-
اولویتبندی مبتنیبر ریسک
-
آستانۀ Escalation
-
مفهوم SLA در SOC
-
تمرین عملی: تحلیل و دستهبندی چند هشدار مختلف
-
-
IOC و مبانی Threat Intelligence
-
تعریف Indicator of Compromise
-
تحلیل IP Reputation
-
بررسی Domain Age
-
تحلیل Hash
-
تفاوت Threat Intelligence داخلی و خارجی
-
تمرین عملی: Enrichment یک IP، یک Domain و یک Hash
-
-
گزارش Incident و Escalation
-
ساختار گزارش استاندارد
-
Executive Summary
-
Timeline
-
شواهد (Evidence)
-
تحلیل اولیه
-
پیشنهاد اقدام
-
-
چه زمانی Escalate کنیم؟
-
Escalation اشتباه چه پیامدی دارد؟
-
تمرین عملی: نگارش گزارش یکصفحهای
-
-
سناریوی نهایی عملیاتی (Capstone Simulation)
-
سناریوی ترکیبی شامل فیشینگ → کلیک کاربر → اجرای Process مشکوک → ارتباط شبکهای مشکوک
-
تحلیل Alert اولیه
-
Pivot روی دادهها
-
ساخت Timeline
-
Enrichment IOC
-
تعیین سطح ریسک
-
تهیۀ گزارش
-
تصمیم Escalation
-
-
معرفی مسیرهای امنیت دفاعی
گواهینامهی دوره
دیدگاهها