ИИ-ассистент Алекс Киббер
0/100
Есть вопросы или предложения? Пишите на edu@ptsecurity.com
Наш сайт использует файлы cookie для улучшения работы сайта и повышения его эффективности. Продолжая его использовать вы подтверждаете согласие на их использование.
ОК

Мониторинг и реагирование на инциденты

Для специалистов первой линии

Практикум для специалистов первой линии SOC, которые хотят повысить точность мониторинга, уверенно реагировать на инциденты и отрабатывать реальные сценарии событий ИБ
Стоимость: 150 000₽
ЗАПИСАТЬСЯ
ЗАписаться
Формат:
онлайн
Старт потока:
27 октября 2025
Длительность:
5 недель

Ценность для бизнеса

Работа Security Operations Center начинается с аналитика первой линии, который принимает на себя весь поток событий, формирует первичную картину происходящего и задает направление для всей последующей работы. Именно через него проходят попытки атак, аномалии в поведении систем и критически важные индикаторы компрометации. И чем больше инцидентов без эскалации решается на L1, тем эффективнее это для всего SOC. Любое промедление, ошибка в интерпретации или механическая передача алерта создают эффект информационного расползания: события теряют контекст, а команда управляемость. Чтобы исключить такие сценарии, необходимо сформировать у специалистов понимание ролей, критериев приоритезации и связей между техническими артефактами, лежащими в основе инцидентов

Практикум дает участникам четкую структуру действий и методику анализа, основанную на разборе цепочек событий, интерпретации поведения системы и практической отработке на тренажере, приближенном к реальным условиям. Участники закрепляют навык фильтрации ложноположительных сработок, получают опыт взаимодействия с ИТ-подразделениями, осваивают инструменты работы с инцидентами и научатся выстраивать поведение, соответствующее зрелым требованиям к реагированию. Такая подготовка позволит команде уверенно перераспределять задачи, уменьшит число эскалаций и значительно ускорит закрытие инцидентов

Что даст практикум вашей команде

алерты обрабатываются быстрее и качественнее
Повышение скорости реагирования команды L1
аналитики раньше распознают фолз-позитивы и сосредотачиваются на реальных инцидентах
Быстрая фильтрация ложных срабатываний
аналитики закрывают больше кейсов на первом уровне, уменьшая количество эскалаций
Увеличение самостоятельной отработки инцидентов
сотрудники тренируются на типовых атаках и получают «мышечную память» в условиях, близких к боевым
Готовность к реальным сценариям
специалисты уверенно эксплуатируют решения класса SIEM, EDR, NTA и WAF, понимая их роль в общей архитектуре защиты
Опыт в работе с ключевыми системами

Типовые барьеры и как мы их решаем

Слишком много ложно-положительных срабатываний, аналитики выгорают
Барьер
Сложно собрать все данные и видеть общую картину
Барьер
В программе предусмотрены модули по кросс-продуктовой аналитике и построению полной цепочки событий
Решение
Нехватка практики и уверенности
Барьер
Более 60 практических заданий по расследованию инцидентов ИБ на тренажере PT EdTechLab позволят научиться детектировать сетевые и инфраструктурные атаки
Решение
Участники учатся выстраивать приоритеты, отличать нормальную активность от подозрительной и обрабатывать только значимые события
Решение

Для кого подходит практикум

Поймут, как выстроить эффективную работу по мониторингу и реагированию на события и инциденты ИБ
Специалисты ИТ и ИБ
Укрепят позиции в команде и повысят ценность своих услуг
Сотрудники SOC
Получат системный подход к фильтрации событий, анализу инцидентов, проведению расследований и работе с решениями SIEM, NTA, WAF, EDR
Аналитики SOC L1

Программа практикума

Практикум построен как пошаговое погружение в работу аналитика первой линии  (L1) — от понимания архитектуры SOC до расследования комплексных инцидентов и автоматизации процессов. В каждом модуле теория сопровождается практикой на автономном тренажере PT EdTechLab. Участники получают реальный опыт благодаря решению практических кейсов на реальных продуктах
 Роль аналитика L1: зона ответственности, отличие от L2 и L3

 Архитектура SOC: SIEM как ключевой компонент, вспомогательные системы (WAF, NTA, EDR, IRP)

 Основы сетевой безопасности: модель OSI, TCP/IP, топологии, средства защиты на уровне сети

 Основы безопасности веб-приложений: работа WEB, устройство веб-приложений, WAF

 Основы безопасности ОС Windows и Linux: архитектура, процессы, файловая система, аутентификация, средства защиты на конечных узлах

 Назначение и особенности логирования в разных источниках: Windows (EventViewer, Sysmon), Linux (auditd, OpenLDAP, Astra Linux), сетевые и веб-источники

 Агентский и безагентский сбор событий: syslog, NetFlow, API

 Фреймворки в действии — матрицы MITRE ATT&CK и MITRE D3FEND

 Атаки глазами злоумышленника: веб-атаки, инфраструктурные атаки, атаки на цепочки поставок

Закрепление навыков

 Анализ логов из разных источников (Windows, Linux, сеть, веб-приложения)

 Построение базовых запросов в SIEM

 Фильтрация шумных событий и выделение значимых

 Знакомство с понятием анализа событий безопасности с использованием технологий WAF, NTA, SIEM
 Жизненный цикл инцидента

 Отличие события от инцидента

 Определение ложных срабатываний

 Признаки подозрительных событий

 Платформы обогащения инцидентов сторонней аналитикой

 Передача и эскалация инцидентов

 Структура типового плейбука реагирования

Закрепление навыков

 Расследование инцидентов ИБ с помощью WAF, NTA, SIEM
 Атаки на веб-приложения: угрозы безопасности веб-приложений, серверные и клиентские уязвимости, уязвимости в логике работы веб-приложения

 Техники обнаружения и предотвращения веб-атак

 Сетевые атаки: атаки на L2-L4, сканирование, флуд, туннелирование трафика, эксфильтрация данных, перемещение в инфраструктуре

 Техники обнаружения и предотвращения сетевых атак

 Атаки на конечные узлы: фишинг, поиск и эксплуатация уязвимостей, атаки на доменную инфраструктуру, повышение привилегий, применение ВПО (ратники, шифровальщики), C2-фреймворки

 Техники обнаружения и предотвращения атак на конечных узлах

Закрепление навыков

 Проведение кибератак в выделенной уязвимой среде

 Расследование инцидентов ИБ с помощью SIEM, EDR, NTA, WAF
 Внедрение автоматизации, работа с решениями IRP

 Построение полной цепочки событий

 Ретроспективный анализ

 Дополнительные точки контроля: средства удаленного доступа, запрещенные утилиты, авторизация учетных записей администраторов и т. д.

Закрепление навыков

 Продвинутое расследование инцидентов ИБ с помощью SIEM, NTA, WAF, IRP
 Финальное расследовании кибератаки на типовую инфраструктуру организации: расследование кросс-продуктового кейса с указанием рекомендаций по закрытию инцидентов и взаимодействию с другими подразделениями

 Подготовка отчета в свободной форме: действия злоумышленника, артефакты в СЗИ, результаты расследования

 Разбор кейса с экспертами

 Рекомендации по развитию

Закрепление навыков

 Проведение Финальный экзамен с проверкой навыков на кросс-продуктовом кейсе в формате расследования инцидента с одновременным использованием нескольких СЗИ

 Получение развернутой обратной связи

 Свидетельство о прохождении программы

Что вы получите на практикуме

Научитесь использовать IRP-механизмы MaxPatrol SIEM для настройки сценариев обработки, автоматического закрытия инцидентов и обогащения событий дополнительными данными
Автоматизация аналитики и эскалации
Освоите анализ алертов, сбор дополнительных данных и построение полной цепочки событий с фиксацией действий
Навыки расследования инцидентов
Задавайте вопросы в Telegram-чате, обсуждайте решения и получайте обратную связь от экспертов на протяжении всего обучения
Поддержка от преподавателей и сообщества
Разберетесь в возможностях классов решений WAF, NTA, EDR, SIEM, IRP и нюансах их совместного использования
Экспертиза по ключевым инструментам SOC
Пройдите более 60 практических кейсов на продуктах MaxPatrol SIEM, PT NAD, PT AF PRO и MaxPatrol EDR
Работа на тренажере PT EdTechLab для отработки навыков
Сохраните доступ ко всем лекциям, презентациям и практическим материалам — можно пересматривать в любое время
Доступ к материалам после окончания практикума

Что изменится в бизнесе после обучения

Эффективные подходы к обработке алертов упростят процесс и сократят число повторяющихся действий
Нагрузка уменьшится
Обратная связь по результатам обучения позволит точечно усилить компетенции внутри команды
Команда станет сильнее
Аналитики будут уверенно фильтровать события, собирать цепочки и оформлять инциденты без лишней эскалации
Реагирование станет точнее
SOC, ИТ и смежные подразделения выстроят рабочие процессы на понятных регламентах и ожиданиях
Инфраструктура начнет работать слаженно
Практикум поможет построить зрелую модель реагирования, в которой архитектура, роли и процессы работают согласованно. Команда будет использовать проверенные сценарии и понятные правила принятия решений. Это обеспечит предсказуемость, точность и высокую скорость работы SOC
Корпоративный формат под особые запросы
Если вы стремитесь к развитию команды по единым стандартам, мы готовы вам помочь: организовать обучение для реализации целей вашей компании

  • Обучение до 40 участников одновременно
  • Возможность кастомизации программы под цели вашей компании
  • Гибкий график под сменный график SOC
Оставьте заявку на корпоративное участие
Заполните форму и мы свяжемся с вами, чтобы обсудить детали.
Решение для команды под задачи компании.

  • До 40 человек — работа всей команды сразу
  • Возможность кастомизации программы — под цели вашей компании
  • Гибкий график под сменный график SOC
Сообщение об успешной отправке!

Что важно знать до начала практикума

Для комфортного прохождения практикума потребуются следующие знания и навыки
 Базовое понимание сетей (модель OSI, TCP/IP)

 Базовое понимание работы веб-приложений

 Навыки работы с Windows/Linux, PowerShell или Bash

 Представление об ИБ (CIA, виды атак, логи, kill chain)
 Знание основных технологий SOC: WAF, NTA, EDR, SIEM, IRP

 Понимание матрицы атак MITRE ATT&CK и матрицы противодействия MITRE D3FEND
Обязательно:
Желательно:

Подтверждение ваших навыков

Вы получите свидетельство от Positive Technologies, которое подтверждает освоение вами программы практикума для специалистов и команд первой линии SOC, и высоко ценится работодателями

Часто задаваемые вопросы

Обучение проходит полностью онлайн, с заранее записанными материалами, практическими работами и несколькими онлайн-встречами с экспертами (каждая длится 1−2 часа). При этом все эфиры записываются, и вы сможете пересматривать их в удобное время. Общая длительность практикума — 5 недели, средняя недельная нагрузка — 5−8 часов в неделю.
Да. Практикум подразумевает самостоятельное изучение материалов и выполнение практики, а также еженедельные встречи с последующей записью занятий. Если вы не сможете прийти на онлайн-встречу, посмотрите ее в записи, а вопросы задайте на следующей встрече или в телеграм-чате
Практика — ключевой элемент практикума. Вы получаете доступ к облачному стенду, где отрабатываете навыки на примере реальных сценариев атак
Определенные модули сопровождаются доступом к облачному стенду на несколько дней. За это время вы работаете, анализируете методики, знакомитесь с новыми инструментами — все максимально приближено к реальным условиям корпоративной инфраструктуры
Все материалы практикума, включая записи вебинаров, презентации и дополнительные ресурсы, будут доступны для вас в течение года после окончания потока. Вы сможете повторять пройденное и освежать знания в любой момент
Вас будут поддерживать эксперты и куратор практикума в телеграм-чате. Они ответят на ваши вопросы по теории и практике, дадут советы, поделятся инсайтами и лайфхаками. Это позволит быстро решать любые возникающие затруднения и получать оперативную обратную связь
Оставьте заявку, чтобы узнать подробности и забронировать место в будущем наборе
Дата старта — 27 октября 2025 г.
Вы отправляете заявку как
Заявка на участие
Сообщение об успешной отправке!
Заявка успешно
отправлена!
Ваша заявка получена и зарегистрирована. Ожидайте дополнительной информации по электронной почте.
Оставьте заявку, чтобы узнать подробности и забронировать место в будущем наборе
Дата старта — 27 октября 2025 г.
Вы отправляете заявку как
Заявка на участие
ОПЛАТИТЬ
Сообщение об успешной отправке!