■ Роль аналитика L1: зона ответственности, отличие от L2 и L3
■ Архитектура SOC: SIEM как ключевой компонент, вспомогательные системы (WAF, NTA, EDR, IRP)
■ Основы сетевой безопасности: модель OSI, TCP/IP, топологии, средства защиты на уровне сети
■ Основы безопасности веб-приложений: работа WEB, устройство веб-приложений, WAF
■ Основы безопасности ОС Windows и Linux: архитектура, процессы, файловая система, аутентификация, средства защиты на конечных узлах
■ Назначение и особенности логирования в разных источниках: Windows (EventViewer, Sysmon), Linux (auditd, OpenLDAP, Astra Linux), сетевые и веб-источники
■ Агентский и безагентский сбор событий: syslog, NetFlow, API
■ Фреймворки в действии — матрицы MITRE ATT&CK и MITRE D3FEND
■ Атаки глазами злоумышленника: веб-атаки, инфраструктурные атаки, атаки на цепочки поставок
Закрепление навыков
■ Анализ логов из разных источников (Windows, Linux, сеть, веб-приложения)
■ Построение базовых запросов в SIEM
■ Фильтрация шумных событий и выделение значимых
■ Знакомство с понятием анализа событий безопасности с использованием технологий WAF, NTA, SIEM