Мониторинг и реагирование на инциденты

Для специалистов первой линии

Практикум для специалистов первой линии SOC, которые хотят повысить точность мониторинга, уверенно реагировать на инциденты и отрабатывать реальные сценарии событий ИБ

Стоимость: 150 000₽

ЗАПИСАТЬСЯ

ЗАписаться

Формат:
онлайн

Старт потока:
27 октября 2025

Длительность:
5 недель

Ценность для бизнеса

Работа Security Operations Center начинается с аналитика первой линии, который принимает на себя весь поток событий, формирует первичную картину происходящего и задает направление для всей последующей работы. Именно через него проходят попытки атак, аномалии в поведении систем и критически важные индикаторы компрометации. И чем больше инцидентов без эскалации решается на L1, тем эффективнее это для всего SOC. Любое промедление, ошибка в интерпретации или механическая передача алерта создают эффект информационного расползания: события теряют контекст, а команда управляемость. Чтобы исключить такие сценарии, необходимо сформировать у специалистов понимание ролей, критериев приоритезации и связей между техническими артефактами, лежащими в основе инцидентов

Практикум дает участникам четкую структуру действий и методику анализа, основанную на разборе цепочек событий, интерпретации поведения системы и практической отработке на тренажере, приближенном к реальным условиям. Участники закрепляют навык фильтрации ложноположительных сработок, получают опыт взаимодействия с ИТ-подразделениями, осваивают инструменты работы с инцидентами и научатся выстраивать поведение, соответствующее зрелым требованиям к реагированию. Такая подготовка позволит команде уверенно перераспределять задачи, уменьшит число эскалаций и значительно ускорит закрытие инцидентов

Что даст практикум вашей команде

алерты обрабатываются быстрее и качественнее

Повышение скорости реагирования команды L1

аналитики раньше распознают фолз-позитивы и сосредотачиваются на реальных инцидентах

Быстрая фильтрация ложных срабатываний

аналитики закрывают больше кейсов на первом уровне, уменьшая количество эскалаций

Увеличение самостоятельной отработки инцидентов

сотрудники тренируются на типовых атаках и получают «мышечную память» в условиях, близких к боевым

Готовность к реальным сценариям

специалисты уверенно эксплуатируют решения класса SIEM, EDR, NTA и WAF, понимая их роль в общей архитектуре защиты

Опыт в работе с ключевыми системами

Типовые барьеры и как мы их решаем

Слишком много ложно-положительных срабатываний, аналитики выгорают

Барьер

Сложно собрать все данные и видеть общую картину

Барьер

В программе предусмотрены модули по кросс-продуктовой аналитике и построению полной цепочки событий

Решение

Нехватка практики и уверенности

Барьер

Более 60 практических заданий по расследованию инцидентов ИБ на тренажере PT EdTechLab позволят научиться детектировать сетевые и инфраструктурные атаки

Решение

Участники учатся выстраивать приоритеты, отличать нормальную активность от подозрительной и обрабатывать только значимые события

Решение

Для кого подходит практикум

Поймут, как выстроить эффективную работу по мониторингу и реагированию на события и инциденты ИБ

Специалисты ИТ и ИБ

Укрепят позиции в команде и повысят ценность своих услуг

Сотрудники SOC

Получат системный подход к фильтрации событий, анализу инцидентов, проведению расследований и работе с решениями SIEM, NTA, WAF, EDR

Аналитики SOC L1

Программа практикума

Практикум построен как пошаговое погружение в работу аналитика первой линии (L1) — от понимания архитектуры SOC до расследования комплексных инцидентов и автоматизации процессов. В каждом модуле теория сопровождается практикой на автономном тренажере PT EdTechLab. Участники получают реальный опыт благодаря решению практических кейсов на реальных продуктах

Базовая инфраструктура и основы SOC

НЕДЕЛЯ 1

■　Роль аналитика L1: зона ответственности, отличие от L2 и L3

■　Архитектура SOC: SIEM как ключевой компонент, вспомогательные системы (WAF, NTA, EDR, IRP)

■　Основы сетевой безопасности: модель OSI, TCP/IP, топологии, средства защиты на уровне сети

■　Основы безопасности веб-приложений: работа WEB, устройство веб-приложений, WAF

■　Основы безопасности ОС Windows и Linux: архитектура, процессы, файловая система, аутентификация, средства защиты на конечных узлах

■　Назначение и особенности логирования в разных источниках: Windows (EventViewer, Sysmon), Linux (auditd, OpenLDAP, Astra Linux), сетевые и веб-источники

■　Агентский и безагентский сбор событий: syslog, NetFlow, API

■　Фреймворки в действии — матрицы MITRE ATT&CK и MITRE D3FEND

■　Атаки глазами злоумышленника: веб-атаки, инфраструктурные атаки, атаки на цепочки поставок

Закрепление навыков

■　Анализ логов из разных источников (Windows, Linux, сеть, веб-приложения)

■　Построение базовых запросов в SIEM

■　Фильтрация шумных событий и выделение значимых

■　Знакомство с понятием анализа событий безопасности с использованием технологий WAF, NTA, SIEM

Работа с событиями, фильтрация и базовые расследования

НЕДЕЛЯ 2

■　Жизненный цикл инцидента

■　Отличие события от инцидента

■　Определение ложных срабатываний

■　Признаки подозрительных событий

■　Платформы обогащения инцидентов сторонней аналитикой

■　Передача и эскалация инцидентов

■　Структура типового плейбука реагирования

Закрепление навыков

■　Расследование инцидентов ИБ с помощью WAF, NTA, SIEM

Думай, как хакер, действуй, как защитник

НЕДЕЛЯ 3

■　Атаки на веб-приложения: угрозы безопасности веб-приложений, серверные и клиентские уязвимости, уязвимости в логике работы веб-приложения

■　Техники обнаружения и предотвращения веб-атак

■　Сетевые атаки: атаки на L2-L4, сканирование, флуд, туннелирование трафика, эксфильтрация данных, перемещение в инфраструктуре

■　Техники обнаружения и предотвращения сетевых атак

■　Атаки на конечные узлы: фишинг, поиск и эксплуатация уязвимостей, атаки на доменную инфраструктуру, повышение привилегий, применение ВПО (ратники, шифровальщики), C2-фреймворки

■　Техники обнаружения и предотвращения атак на конечных узлах

Закрепление навыков

■　Проведение кибератак в выделенной уязвимой среде

■　Расследование инцидентов ИБ с помощью SIEM, EDR, NTA, WAF

Совершенствование процессов и автоматизация

НЕДЕЛЯ 4

■　Внедрение автоматизации, работа с решениями IRP

■　Построение полной цепочки событий

■　Ретроспективный анализ

■　Дополнительные точки контроля: средства удаленного доступа, запрещенные утилиты, авторизация учетных записей администраторов и т. д.

Закрепление навыков

■　Продвинутое расследование инцидентов ИБ с помощью SIEM, NTA, WAF, IRP

Итоговое расследование и подтверждение навыков

НЕДЕЛЯ 5

■　Финальное расследовании кибератаки на типовую инфраструктуру организации: расследование кросс-продуктового кейса с указанием рекомендаций по закрытию инцидентов и взаимодействию с другими подразделениями

■　Подготовка отчета в свободной форме: действия злоумышленника, артефакты в СЗИ, результаты расследования

■　Разбор кейса с экспертами

■　Рекомендации по развитию

Закрепление навыков

■　Проведение Финальный экзамен с проверкой навыков на кросс-продуктовом кейсе в формате расследования инцидента с одновременным использованием нескольких СЗИ

■　Получение развернутой обратной связи

■　Свидетельство о прохождении программы

Что вы получите на практикуме

Научитесь использовать IRP-механизмы MaxPatrol SIEM для настройки сценариев обработки, автоматического закрытия инцидентов и обогащения событий дополнительными данными

Автоматизация аналитики и эскалации

Освоите анализ алертов, сбор дополнительных данных и построение полной цепочки событий с фиксацией действий

Навыки расследования инцидентов

Задавайте вопросы в Telegram-чате, обсуждайте решения и получайте обратную связь от экспертов на протяжении всего обучения

Поддержка от преподавателей и сообщества

Разберетесь в возможностях классов решений WAF, NTA, EDR, SIEM, IRP и нюансах их совместного использования

Экспертиза по ключевым инструментам SOC

Пройдите более 60 практических кейсов на продуктах MaxPatrol SIEM, PT NAD, PT AF PRO и MaxPatrol EDR

Работа на тренажере PT EdTechLab для отработки навыков

Сохраните доступ ко всем лекциям, презентациям и практическим материалам — можно пересматривать в любое время

Доступ к материалам после окончания практикума

Что изменится в бизнесе после обучения

Эффективные подходы к обработке алертов упростят процесс и сократят число повторяющихся действий

Нагрузка уменьшится

Обратная связь по результатам обучения позволит точечно усилить компетенции внутри команды

Команда станет сильнее

Аналитики будут уверенно фильтровать события, собирать цепочки и оформлять инциденты без лишней эскалации

Реагирование станет точнее

SOC, ИТ и смежные подразделения выстроят рабочие процессы на понятных регламентах и ожиданиях

Инфраструктура начнет работать слаженно

ОТПРАВИТЬ ЗАЯВКУ

Практикум поможет построить зрелую модель реагирования, в которой архитектура, роли и процессы работают согласованно. Команда будет использовать проверенные сценарии и понятные правила принятия решений. Это обеспечит предсказуемость, точность и высокую скорость работы SOC

Корпоративный формат под особые запросы

Если вы стремитесь к развитию команды по единым стандартам, мы готовы вам помочь: организовать обучение для реализации целей вашей компании

Обучение до 40 участников одновременно
Возможность кастомизации программы под цели вашей компании
Гибкий график под сменный график SOC

ОТПРАВИТЬ ЗАЯВКУ

Оставьте заявку на корпоративное участие

Заполните форму и мы свяжемся с вами, чтобы обсудить детали.

Решение для команды под задачи компании.

До 40 человек — работа всей команды сразу
Возможность кастомизации программы — под цели вашей компании
Гибкий график под сменный график SOC

ОТПРАВИТЬ ЗАЯВКУ

Что важно знать до начала практикума

Для комфортного прохождения практикума потребуются следующие знания и навыки

■　Базовое понимание сетей (модель OSI, TCP/IP)

■　Базовое понимание работы веб-приложений

■　Навыки работы с Windows/Linux, PowerShell или Bash

■　Представление об ИБ (CIA, виды атак, логи, kill chain)

■　Знание основных технологий SOC: WAF, NTA, EDR, SIEM, IRP

■　Понимание матрицы атак MITRE ATT&CK и матрицы противодействия MITRE D3FEND

Обязательно:

Желательно:

Разработано специалистами Positive Technologies

Практикум создан теми, кто делает продукты Positive Technologies каждый день. Здесь вы получите из первых рук знания и практические навыки, которые есть только у нас.

Наши спикеры — практикующие эксперты, которые ежедневно расследуют инциденты, строят и защищают инфраструктуру крупных компаний. Они создали практикумы, чтобы делиться реальным опытом и помогать вам отрабатывать навыки, которые помогут в работе с реальными угрозами.

Вы получите свидетельство от Positive Technologies, которое подтверждает освоение вами программы практикума для специалистов и команд первой линии SOC, и высоко ценится работодателями

Часто задаваемые вопросы

В каком формате и как долго проходит обучение? Какова недельная нагрузка?

Обучение проходит полностью онлайн, с заранее записанными материалами, практическими работами и несколькими онлайн-встречами с экспертами (каждая длится 1−2 часа). При этом все эфиры записываются, и вы сможете пересматривать их в удобное время. Общая длительность практикума — 5 недели, средняя недельная нагрузка — 5−8 часов в неделю.

Можно ли учиться без отрыва от работы?

Да. Практикум подразумевает самостоятельное изучение материалов и выполнение практики, а также несколько встреч с последующей записью занятий. Если вы не сможете прийти на онлайн-встречу, посмотрите ее в записи, а вопросы задайте на следующей встрече или в телеграм-чате

Есть ли практические занятия?

Практика — ключевой элемент практикума. Вы получаете доступ к облачному стенду, где отрабатываете навыки на примере реальных сценариев атак

Как организована работа на облачном стенде?

Определенные модули сопровождаются доступом к облачному стенду на несколько дней. За это время вы работаете, анализируете методики, знакомитесь с новыми инструментами — все максимально приближено к реальным условиям корпоративной инфраструктуры

Как долго сохраняется доступ к материалам и записям?

Все материалы практикума, включая записи вебинаров, презентации и дополнительные ресурсы, будут доступны для вас в течение года после окончания потока. Вы сможете повторять пройденное и освежать знания в любой момент

Кто будет мне помогать в изучении материала на платформе?

Вас будут поддерживать эксперты и куратор практикума в телеграм-чате. Они ответят на ваши вопросы по теории и практике, дадут советы, поделятся инсайтами и лайфхаками. Это позволит быстро решать любые возникающие затруднения и получать оперативную обратную связь

Вы отправляете заявку как

Для индивидуального обучения сотрудников юридических лиц стоимость рассчитывается отдельно и отправляется по запросу.

Дата старта: 27 октября 2025 г.

Формат проведения: онлайн

Особые условия при командном участии. Чем больше сотрудников, тем выгоднее условия.

Заявка на участие

Отправить заявку

Юридическое лицо

Отправить вопрос и оплатить

Физическое лицо

Отправить заявку

Заявка успешно

отправлена!

Ваша заявка получена и зарегистрирована. Ожидайте дополнительной информации по электронной почте.

Закрыть

Вы отправляете заявку как

Заявка на участие

Дата старта: 27 октября 2025 г.

Стоимость участия
150 000₽ (+ НДС) одним платежом
или в рассрочку:
■ 25 000 ₽/мес. × 6 месяцев
■ 12 500 ₽/мес. × 12 месяцев

Формат проведения: онлайн

Заявка не обязывает к оплате, но вы резервируете место в группе

[{"lid":"1753199376086","ls":"10","loff":"","li_parent_id":"","li_type":"ta","li_ph":"\u041e\u0441\u0442\u0430\u043b\u0438\u0441\u044c \u0432\u043e\u043f\u0440\u043e\u0441\u044b?","li_rows":"3","li_name":"client_comment","li_nm":"client_comment"},{"lid":"1753199376087","ls":"20","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u042f \u043e\u0437\u043d\u0430\u043a\u043e\u043c\u043b\u0435\u043d \u0438 \u0441\u043e\u0433\u043b\u0430\u0448\u0430\u044e\u0441\u044c \u0441 <a href=\"https:\/\/edu.ptsecurity.com\/terms-of-use\" style=\"color: rgb(128, 128, 128); border-bottom: 1px solid rgb(128, 128, 128); box-shadow: none; text-decoration: none;\">\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u043c \u0441\u043e\u0433\u043b\u0430\u0448\u0435\u043d\u0438\u0435\u043c<\/a> \u0438 <a href=\"https:\/\/edu.ptsecurity.com\/privacy-policy\" style=\"color: rgb(128, 128, 128); border-bottom: 1px solid rgb(128, 128, 128); box-shadow: none; text-decoration: none;\">\u041f\u043e\u043b\u0438\u0442\u0438\u043a\u043e\u0439 \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438<\/a>, \u0434\u0430\u044e \u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u0434\u0430\u043d\u043d\u044b\u0445 \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0438 \u0441 <a href=\"https:\/\/edu.ptsecurity.com\/privacy-policy\" style=\"color: rgb(128, 128, 128); border-bottom: 1px solid rgb(128, 128, 128); box-shadow: none; text-decoration: none;\">\u041f\u043e\u043b\u0438\u0442\u0438\u043a\u043e\u0439 \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438<\/a>","li_name":"client_PolicyAccept","li_req":"y","li_nm":"client_PolicyAccept"},{"lid":"1753199376088","ls":"30","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u042f \u0441\u043e\u0433\u043b\u0430\u0441\u0435\u043d \u0441 <a href=\"https:\/\/edu.ptsecurity.com\/oferta_monirtoring\" target=\"_blank\" rel=\"noreferrer noopener\" style=\"color: rgb(128, 128, 128); border-bottom: 1px solid rgb(128, 128, 128); box-shadow: none; text-decoration: none;\">\u0434\u043e\u0433\u043e\u0432\u043e\u0440\u043e\u043c \u043e\u0444\u0435\u0440\u0442\u044b<\/a>","li_name":"offer_accept","li_req":"y","li_nm":"offer_accept"},{"lid":"1753199376089","ls":"40","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u042f \u0434\u0430\u044e <a href=\"https:\/\/edu.ptsecurity.com\/consent\" style=\"color: rgb(128, 128, 128); border-bottom: 1px solid rgb(128, 128, 128); box-shadow: none; text-decoration: none;\">\u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u0434\u0430\u043d\u043d\u044b\u0445<\/a> \u0434\u043b\u044f \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u043c\u043d\u0435 \u0440\u0435\u043a\u043b\u0430\u043c\u043d\u044b\u0445, \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0438 \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439, \u0443\u0447\u0430\u0441\u0442\u0438\u044f \u0432 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f\u0445","li_name":"advertisingAccept","li_nm":"advertisingAccept"},{"lid":"1753199376090","ls":"50","loff":"","li_parent_id":"","li_type":"hd","li_name":"clientType","li_value":"\u0424\u0438\u0437\u0438\u0447\u0435\u0441\u043a\u043e\u0435 \u043b\u0438\u0446\u043e","li_nm":"clientType"},{"lid":"1753199376091","ls":"60","loff":"","li_parent_id":"","li_type":"hd","li_name":"coursetitle","li_value":"\u041c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u044b","li_nm":"coursetitle"},{"lid":"1756995807233","ls":"70","loff":"","li_parent_id":"","li_type":"hd","li_name":"offer_link","li_value":"https:\/\/edu.ptsecurity.com\/oferta_monirtoring","li_nm":"offer_link"}]