آکادمی راوین

SOC Tier 1 Operations

  • متوسط
  • مسیر آبی
  • ۹ درس
ثبت نام سازمانی این دوره
تاریخ شروع
۲ خرداد ۱۴۰۱
طول دوره
ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۰ نفر باقی مانده

درباره‌ی این دوره

در عصر حاضر با پیشرفت سریع فناوری و تهدیدات روزمره‌ی آن، مشاغل بزرگ و کوچک باید از اطلاعات حساس خود مانند داده‌های مشتریان، کارمندان، شرکا، اسناد سازمانی و سایر موارد در برابر افراد خراب‌کار و مهاجمین سایبری محافظت کنند. اما از طرف دیگر با افزایش تعداد مهاجمان سایبری و پیچیده‌تر شدن حملات در دنیا، این محافظت به یک موضوع روز به روز چالش برانگیزتر تبدیل شده است. امنیت سایبری در سال‌های اخیر در کنار جلوگیری و پیش‌گیری از حملات، بر روی شناسایی تهدیدات و حملات سایبری در زیرساخت متمرکز شده است. در گذشته اگر نفوذگر موفق به دور زدن راهکارهای امنیتی بازدارنده‌ی قربانی می‌شد، دیگر مانع بزرگی در مسیر خود نمی‌دید و می‌توانست هفته‌ها یا ماه‌ها در شبکه قربانی به گردش و جستجو پرداخته و داده‌های محرمانه‌ی قربانی را از شبکه استخراج یا حتی این داده‌های سرقتی را در طول زمان به‌روزرسانی کند. همین امر موجب شد تا سازمان‌ها به راهکارهای جدید و پیچیده‌تری برای مقابله با نفوذگران در مرحله‌ی پس از نفوذ، روی بیاورند. در همین راستا مراکز عملیات امنیت (SOC) در سازمان‌ها ایجاد و تقویت شد. یک مرکز عملیات امنیت با بهره‌گیری از  متخصصین امنیت سایبری در سطوح مختلف، وظیفه‌ی شناسایی تهدیدات سایبری و پاسخ به این تهدیدات را بر عهده دارد. یکی از مهم‌ترین چالش‌های مراکز  عملیات امنیت در دنیا، کمبود نیروی متخصص به منظور اشتغال در این مراکز است. این چالش در ایران به مراتب پررنگ‌تر از بسیاری کشورهای توسعه یافته، وجود دارد. به طور کلی نقش‌های موجود در یک مرکز عملیات امنیت را می‌توان در ۳ لایه در نظر گرفت. به‌گونه‌ای که تعداد متخصصین در لایه‌های بالاتر کاهش می‌یابد اما سطح تخصص و تجربه‌ی آن‌ها بیشتر از متخصصین لایه‌های پایین‌تر است. این دوره با هدف آموزش دانش مورد نیاز برای کارشناسان لایه ۱ مراکز عملیات امنیت طراحی و ارایه شده است. شما با گذراندن این دوره، مبانی ساختار SOC، مفاهیم مدیریت رخداد، مفاهیم و ساختار SIEM، جمع‌آوری انواع اطلاعات و وقایع از بخش‌های مختلف زیرساخت، مفاهیم Threat Intelligence‌ و بهره‌برداری از آن در SIEM و بسیاری موارد دیگر را خواهید آموخت.

این دوره به چه افرادی توصیه می‌شود؟

  • تحلیل‌گران و مهندسین لایه‌ی اول SOC
  • مهندسین امنیت شبکه و زیرساخت
  • مشاورین امنیت سایبری
  • کارشناسان ردیابی مهاجمین

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • آشنایی با مفاهیم انواع حملات سایبری
  • آشنایی با مفاهیم سیستم‌عامل‌های ویندوز و لینوکس
  • آشنایی با پروتکل‌های TCP/IP
  • آشنایی با مفاهیم و تعاریف تحلیل وقایع و لاگ
  • آشنایی با مفاهیم شبکه

سرفصل‌های دوره

  • Data is everything
    • Introduction Event, Alert, Incident
    • Type of Incident
    • When Alert Is Incident?
    • Structure of Alert
  • SOC Introduction
    • Human Position
    • Tiers Tasks
    • Triage Officer
    • Incident Handling Process
    • Incident Response Process
  • SIEM Introduction
    • What Is SIEM?
    • Goal of SIEM
    • Tactical SIEM VS Compliance SIEM
    • Structure
  • Network Input Feed
    • Network Input Feed
      • Device Logging
      • Network Extract Logging
      • Zeek and Deployment Location
      • DNS
      • Suricata NIDS
      • NetFlow Generator and Parser
      • HTTP
      • HTTPS
      • SMTP
  • Log Enrichment
    • Tagging
    • One Top Million
    • Indicators Of Compromise (IOC)
    • Alien Vault (OTX)
    • Frequency Score
    • Geo Location
  • Endpoint Input Feed
    • Endpoint Input Feed
      • Types Of Endpoints
      • Windows Logging
      • Linux Logging
    • Strategy of collection
      • Server VS Desktop
      • How We Should Collect?
      • Noise Prevention and Filtering
  • Endpoint Analysis
    • Event OF Interest
      • How Well do We Know ourselves?
      • EOI Before Compromise
      • Finding Signs of Exploitation
      • Find Signs of Internal Reconnaissance
      • Finding Persistence
      • Privilege Escalation
      • Establishing a Foothold
      • Cleaning up Tracks
    • Credential Theft and reuse
      • Multiple failed logons
      • Unauthorized Account Use
    • Monitor PowerShell
      • Configure PowerShell Logging
      • Identify Obfuscation
      • Identify Modern Attacks
  • Baseline data
    • Network Data (from NetFlow, Firewalls, etc.)
      • Use Outbound Flows to Discover Unauthorized Use OR Assets
      • Compare Expected Inbound/Outbound Protocol
      • Find Persistence AND Beaconing
      • Utilize Geolocation and Reverse DNS Lookups
      • Establish Device-TO-Device Relationships
      • Identify Lateral Movement
      • Configure Outbound Communication Thresholds
    • Monitor Logons Based on Patterns
      • Time-based
      • Concurrency of logons
    • Endpoint Baseline Monitoring
      • Configure Enterprise-Wide Baseline Collection
      • Large Scale Persistence Monitoring
      • Finding Abnormal Local User Accounts
      • Discover Dual-Homed Devices
  • Tactical SIEM Detection & Post Mortem Analysis
    • Centralize NIDS and HIDS Alerts
    • Analyze Endpoint Security Logs
      • Provide Alternative Analysis Methods
      • Configure Tagging to Facilitate Better Reporting
    • SIEM Tripwires
      • Configure Systems to Generate Early Log Alerts After Compromise
      • Identify File and Folder Scan Activity
      • Identify User Token Stealing
      • Operationalize Virtual Honeypots with Central Logging
      • Allow phone home tracking
    • Post Mortem Analysis
      • Re-analyze Network Traffic
      • Identify Unusual Time-Based Activity
      • Use Threat Intel to Reassess previous Data Fields Such as User-Agents
      • Utilize Hashes in Log to Constantly Re-evaluate for Known Bad Files

گواهینامه‌ی دوره

گواهی نامه SOC Tier 1 Operations

دوره های مشابه