Traffic Analysis & Threat Detection with Suricata
Traffic Analysis & Threat Detection with Suricata
پس از پرداخت اطلاعات به ایمیل شما ارسال خواهد شد
Traffic Analysis & Threat Detection with Suricata
پس از تایید پرداخت، ثبت نام اقساطی شما تکمیل میشود
- پیشرفته متوسط مقدماتی
- مسیر آبی
- ۲ درس
دربارۀ این دوره
دورهٔ Suricata، از مقدماتی تا پیشرفته، با هدف ارائۀ آموزشی جامع، کاربردی و مبتنیبر تجربهٔ عملی در حوزهٔ سیستمهای تشخیص و جلوگیری از نفوذ متنباز طراحی شده است.
در این دوره، شرکتکنندگان ابتدا با مفاهیم بنیادین تشخیص نفوذ آشنا میشوند و سپس مباحثی مانند معماری چندریسمانی (Multi-threaded)، نصب و پیکربندی عملیاتی، مدیریت و بهینهسازی قوانین و تحلیل عمیق لاگهای Suricata را بهصورت عملی فرا میگیرند.
در بخش پیشرفته، موضوعاتی همچون GeoIP، استخراج فایل (File Extraction)، استفادهٔ حرفهای از Flowbits و Xbits در قوانین پویا، تحلیل لاگهای EVE (JSON) و یکپارچهسازی Suricata با ELK Stack و سایر SIEMها آموزش داده میشود.
هدف نهایی دوره، توانمندسازی شرکتکنندگان برای پیادهسازی، بهینهسازی و نگهداری یک سیستم IDS/IPS پایدار، مقیاسپذیر و هوشمند است؛ سیستمی که بدون اتکا به محصولات تجاری، در محیطهای عملیاتی و سازمانی قابل استفاده باشد. مثالهای واقعی، روشهای رفع خطاهای رایج و الگوهای استقرار در محیطهای SOC نیز بهصورت گامبهگام و قابل تکرار ارائه شدهاند.
این دوره، در دو بخش ارائه میشود:
- بخش اول: مقدماتی تا متوسط، مناسب افرادی است که قصد دارند Suricata را برای نخستین بار راهاندازی کنند.
- بخش دوم: متوسط تا پیشرفته، مناسب تحلیلگران حرفهای، اعضای Blue Team و افرادی است که بهدنبال استقرار Suricata در محیطهای تولیدی هستند.
این دوره، تنها مختص افراد مبتدی نیست، بلکه بهگونهای طراحی شده است که دانشپذیران سطح مقدماتی بتوانند از صفر آغاز کنند و به سطح عملیاتی برسند؛ کارشناسان Tier 1 و Tier 2 بتوانند از مباحث پیشرفته مانند توسعهٔ قوانین هوشمند، یکپارچهسازی با ELK و بهینهسازی عملکرد در حجم بالا بهره ببرند و متخصصان حرفهای نیز با نکات عمیق تخصصی، مقایسههای عملی با ابزارهای رقیب مانند Snort و Zeek و روشهای رفع چالشهای پیچیده مانند Evasion Detection و تنظیم قوانین براساس False Positive Rate، ارزش افزودۀ واقعی دریافت کنند.
مدتزمان این دوره، ۱۰ ساعت است که طی ۵ جلسۀ ۲ساعته، روزهای پنجشنبۀ هر هفته از ساعت ۹ تا ۱۱، بهصورت آنلاین برگزار خواهد شد. شروع این دوره، از روز پنجشنبه ۲۵ دیماه خواهد بود.
مخاطبان
- کارشناسان SOC (بهویژه سطوح Tier 1 و Tier 2)
- تیمهای Blue Team و تحلیلگران تهدید (Threat Hunters)
- متخصصان امنیت شبکه و معماران امنیتی
- محققان امنیتی و علاقهمندان به سیستمهای متنباز IDS/IPS
- افراد علاقهمند به بهرهگیری از Suricata، در کنار یا بهجای Snort/Zeek در خط دفاعی سازمان
پیشنیازها
- آشنایی عملی با پشتهٔ TCP/IP و پروتکلهای رایج شبکه (HTTP ،DNS ،SMB ،TLS و...)
- تجربهٔ کار با محیط خط فرمان لینوکس (نصب بسته، مدیریت سرویس، پردازش متن با grep ،jq ،awk و…)
- آشنایی مقدماتی با ابزارهای تحلیل ترافیک مانند Tcpdump یا Wireshark
- دانش کلی از مفاهیم امنیت اطلاعات (IOC ،MITRE ATT&CK، مدل دفاعی و لاگهای امنیتی)
سرفصلها
-
بخش اول: مقدماتی تا متوسط
-
مقدمهای بر IDS/IPS و معماری Suricata
-
تفاوت IDS ،IPS و NIDS
-
مقایسۀ Suricata با Snort و Zeek
-
معماری Multi-Threaded Suricata
-
-
نصب و پیکربندی اولیه
-
نصب از طریق پکیج (APT/YUM) Vs کامپایل از سورس
-
بررسی فایل Suricata.yaml
-
تنظیمات پایه: Interface ،Logها و Rule Directories
-
نحوۀ اجرا کردن Suricata (سرویس و کامندی یا دستی)
-
-
درک ساختار Rules
-
ساختار header + options :Rule
-
فیلدهای کلیدی: rev ،msg ،classtype و sid
-
عملگرهای content ،pcre ،uricontent ،http :_*match
-
-
اجرای Suricata در حالتهای مختلف
-
حالت IDS (passive)
-
حالت IPS (با AF_PACKET یا NFQ)
-
تست با Pcap و Live Traffic
-
-
لاگگیری و تحلیل خروجیها
-
فرمتهای لاگ
-
استفاده از jq برای تحلیل EVE-JSON
-
ادغام با SIEM مانند ELK
-
-
مدیریت قوانین
-
استفاده از ET Open ،Emerging Threats) Rule Sets)
-
بهروزرسانی خودکار قوانین با Suricata-Update
-
غیرفعال و فعال کردن قوانین با Disable.Conf
-
-
-
بخش دوم: متوسط تا پیشرفته
-
GeoIP و تحلیل مکانی ترافیک
-
دانلود و نصب GeoLite2 DB از MaxMind
-
پیکربندی در suricata.yaml
-
نوشتن قوانین براساس کشور مبدأ و مقصد
-
محدودیتها و دقت GeoIP
-
-
استخراج و تحلیل فایل File Extraction
-
تحلیل انواع Pcap
-
-
توسعۀ قانونهای پیچیده
-
استفاده از Flowbits برای ردیابی Session
-
قوانین چندمرحلهای (Multi-Packet Detection)
-
استفاده از Xbits برای اشتراکگذاری بین Ruleها
-
-
ادغام با سیستمهای خارجی
-
ادغام با ELK برای داشبورد
-
-
گواهینامهی دوره
دیدگاهها