SANS SEC503

علیرضا اسحاق‌پور
علیرضا اسحاق‌پور
  • متوسط
  • مسیر آبی
    •
  • ۵ درس
مهلت ثبت‌نام:
  :    :  
۷,۹۰۰,۰۰۰ تومان
ثبت‌نام اقساطی
تاریخ شروع
۳۰ فروردین ۱۴۰۵
طول دوره
۳۶ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۱۵ نفر باقی مانده
نوع برگزاری
حضوری
ثبت‌نام سازمانی این دوره

دربارۀ این دوره

طبق نقشۀ راه آکادمی SANS، پس از گذراندن دوره‌های SEC401 و SEC504، نوبت به دورۀ SANS SEC503 می‌رسد. این دوره، پیش‌نیاز بسیاری از دوره‌های تخصصی و امنیت دفاعی مانند SEC530 ،SEC450 ،SEC487 ،SEC555 SEC505 ،SEC501 ،SEC506 ،SEC566 ،SEC599 و غیره است؛ بنابراین از نظر آکادمی SANS، گذراندن این دوره حائز اهمیت است و یکی از دوره‌های اصلی برای کارشناسان SOC به شمار می‌آید.
در این دوره، درک عمیقی از ترافیک شبکه و تحلیل آن، پروتکل‌های لایه‌های مختلف شبکه و ترافیک نرمال هر پروتکل را به دست خواهید آورد. به‌واسطۀ این درک، می‌توانید ترافیک‌های مشکوک و غیرعادی را شناسایی کنید که این امر، یکی از وظایف کارشناسان تیم SOC است. همچنین در این دوره، با تسلط بر پروتکل‌ها، با آناتومی دقیق حمله‌ها آشنا می‌شوید. تفاوت حمله‌هایی که در این دوره بررسی می‌شوند با دوره‌های قبلی مانند SANS SEC504 در این است که در این دوره، حمله‌ها در سطح Key Valueهایی که در هدرهای پروتکل‌ها توسط مهاجم درج می‌شوند، تحلیل می‌شوند. شما حتی بدون نیاز به ابزارهای آمادهٔ حمله، می‌توانید با ابزارهایی مانند Scapy، ترافیک دلخواه خود را تولید کرده و حملهٔ مورد نظر را پیاده‌سازی کنید. از این رو، شناخت آناتومی حمله‌ها در این دوره، بسیار عمیق‌تر و کاربردی‌تر از دوره‌های پیشین است.
در این دوره، شما دید جامع و دقیقی نسبت به شبکه، آناتومی حمله‌ها و نحوۀ شناسایی حمله‌ها به دست می‌آورید. همچنین، به‌طور کامل با ابزارهای NIDS و NTA آشنا می‌شوید و نحوۀ استقرار، پیکربندی و تیونینگ آن‌ها را در سازمان‌های Enterprise فرا می‌گیرید. با توجه به دانش به‌دست‌آمده از تحلیل ترافیک شبکه و شناخت عمیق حمله‌ها که در این دوره کسب کرده‌اید می‌توانید Signatureهای حمله را درک کنید و حتی Signatureهای شخصی‌سازی‌شده بنویسید. با توجه به اینکه دریافت لاگ‌های NIDS، یکی از ارکان اصلی یک SOC است، گذراندن این دوره و تسلط بر تیونینگ Signatureهای NIDS برای هر کارشناس SOC لازم است.

 

مدت‌زمان این دوره ۳۶ ساعت است که طی ۱۲ جلسۀ ۳ساعته، روزهای یکشنبه و سه‌شنبۀ هر هفته از ساعت ۱۸:۰۰ تا ۲۱:۰۰، به‌صورت حضوری برگزار خواهد شد. شروع این دوره، از روز یکشنبه ۳۰ فروردین‌ماه ۱۴۰۵ خواهد بود.

 

می‌توانید با استفاده از شرایط اقساطی آکادمی راوین،‌ پرداخت دو قسط در دو ماه مختلف، در این دوره ثبت‌نام کنید.

مخاطبان

  • کارشناسان SOC
  • کارشناسان ارشد شبکه
  • کارشناسان امنیت
  • مدیران امنیت

پیش‌نیازها

  • گذراندن دورۀ +Network
  • گذراندن دورۀ +Security
  • گذراندن دورۀ SANS SEC504

سرفصل‌ها

  • Fundamentals of Traffic Analysis: Part 1
    • Concepts of TCP/IP
      • ?Why is it necessary to understand packet headers and data
      • TCP/IP communications model
      • Data encapsulation/de-encapsulation
      • Discussion of bits, bytes, binary, and hex
    • Introduction to Wireshark
      • Navigating around Wireshark
      • Examination of Wireshark statistics
      • Stream reassembly
      • Finding content in packets
    • Network Access/Link Layer: Layer 2
      • Introduction to 802.x link layer
      • Address resolution protocol
      • ARP spoofing
    • IP Layer: Layer 3
      • IPv4
      • IPv6
  • Fundamentals of Traffic Analysis: Part 2
    • Wireshark Display Filters
      • Examination of some of the many ways that Wireshark facilitates creating display filters- Composition of display filters
    • Writing BPF Filters
      • The ubiquity of BPF and utility of filters
      • Format of BPF filters
      • Use of bit masking
    • TCP
      • Examination of fields in theory and practice
      • Packet dissection
      • Checksums
      • Normal and abnormal TCP stimulus and response
      • Importance of TCP reassembly for IDS/IPS
    • UDP
      • Examination of fields in theory and practice
      • UDP stimulus and response
    • ICMP
      • Examination of fields in theory and practice
      • When ICMP messages should not be sent
      • Use in mapping and reconnaissance
      • Normal ICMP
      • Malicious ICMP
    • Real-World Analysis — Command Line Tools
      • Regular Expressions fundamentals
      • Rapid processing using command line tools
      • Rapid identification of events of interest
  • Application Protocols and Traffic Analysis
    • Scapy
      • Packet crafting and analysis using Scapy
      • Writing a packet(s) to the network or a pcap file
      • Reading a packet(s) from the network or from a pcap file
      • Practical Scapy uses for network analysis and network defenders
    • Advanced Wireshark
      • Exporting web objects
      • Extracting arbitrary application content
      • Wireshark investigation of an incident
      • Practical Wireshark uses for analyzing SMB protocol activity
      • Tshark
    • Detection Methods for Application Protocols
      • Pattern matching, protocol decode, and anomaly detection challenges
    • DNS
      • DNS architecture and function
      • Caching
      • DNSSEC
      • Malicious DNS, including cache poisoning
    • Microsoft Protocols
      • SMB/CIFS
      • MSRPC
      • Detection challenges
      • Practical Wireshark application
    • Modern HTTP and TLS
      • Protocol format
      • Why and how this protocol is evolving
      • Detection challenges
    • SMTP
      • Protocol format
      • STARTTLS
      • Sample of attacks
      • Detection challenges
    • IDS/IPS Evasion Theory
      • Theory and implications of evasions at different protocol layers
      • Sampling of evasions
      • Necessity for target-based detection
    • Identifying Traffic of Interest
      • Finding anomalous application data within large packet repositories
      • Extraction of relevant records
      • Application research and analysis
      • Hands-on exercises after each major topic that offer students the opportunity to reinforce what they just learned
  • Network Monitoring: Signatures vs. Behaviors
    • Network Architecture
      • Instrumenting the network for traffic collection
      • IDS/IPS deployment strategies
      • Hardware to capture traffic
    • Introduction to IDS/IPS Analysis
      • Function of an IDS
      • The analyst’s role in detection
      • Flow process for Suricata and Zeek
      • Similarities and differences between Suricata/Snort and Zeek
    • Suricata/Snort
      • Introduction to Suricata/Snort
      • Running Suricata/Snort
      • Writing Suricata/Snort rules
      • Solutions for dealing with false negatives and positives
      • Tips for writing efficient rules
    • Zeek
      • Introduction to Zeek
      • Zeek Operational modes
      • Zeek output logs and how to use them
      • Practical threat analysis
      • Zeek scripting
      • Using Zeek to monitor and correlate related behaviors
      • Hands-on exercises, one after each major topic, offer students the opportunity to reinforce what they just learned
  • Network Traffic Forensics
    • Introduction to Network Forensics Analysis
      • Theory of network forensics analysis
      • Phases of exploitation
      • Data-driven analysis vs. Alert-driven analysis
      • Hypothesis-driven visualization
    • Using Network Flow Records
      • NetFlow and IPFIX metadata analysis
      • Using SiLK to find events of interest
      • Identification of lateral movement via NetFlow data
    • Examining Command and Control Traffic
      • Introduction to command and control traffic
      • TLS interception and analysis
      • TLS profiling
      • Covert DNS C2 channels: dnscat2 and Ionic
      • Other covert tunneling, including The Onion Router (TOR)
    • Analysis of Large pcaps
      • The challenge of analyzing large pcaps
      • Students analyze three separate incident scenarios

گواهینامه‌ی دوره

گواهی‌نامه

دوره های مشابه

دیدگاه‌ها

اولین نفری باشید که دیدگاه خود را ثبت می‌کنید.