Основные концепции SOC (Центра операций безопасности):
- Основы компьютерных сетей
- Набор протоколов TCP/IP
- Протоколы прикладного уровня
- Протоколы транспортного уровня
- Протоколы сетевого уровня
- Протоколы канального уровня
- Адресация IP и номера портов
- Средства сетевой безопасности
- Устройства сетевой безопасности
- Безопасность Windows
- Безопасность Unix/Linux
- Основы веб-приложений
- Стандарты, законы и акты в области информационной безопасности
- Управление и операции безопасности
**Управление безопасностью:**
- Операции безопасности
- Центр операций безопасности (SOC)
- Необходимость SOC
- Возможности SOC
- Операции SOC
- Рабочие процессы SOC
- Компоненты SOC: люди, процессы и технологии
- Люди
- Технологии
- Процессы
- Типы моделей SOC
- Модели зрелости SOC
- Поколения SOC
- Внедрение SOC
- Основные показатели эффективности SOC
- Проблемы при внедрении SOC
- Лучшие практики для управления SOC
- Сравнение SOC и NOC
- Понимание киберугроз, индикаторов компрометации (IoC) и методов атак
**Киберугрозы:**
- Намерения-мотивы-цели
- Тактики-техники-процедуры (TTPs)
- Возможности-уязвимости-слабые места
- Сетевые атаки
- Атаки на хосты
- Атаки на уровне приложений
- Угрозы безопасности электронной почты
- Понимание индикаторов компрометации
- Понимание методологии хакеров
**Инциденты, события и логирование:**
- Инцидент
- Событие
- Лог
- Типичные источники логов
- Необходимость логов
- Требования к логированию
- Типичный формат логов
- Подходы к логированию
- Локальное логирование
- Централизованное логирование
**Обнаружение инцидентов с помощью SIEM (система управления событиями и информацией безопасности):**
- SIEM (Security Information and Event Management)
- Аналитика безопасности
- Необходимость SIEM
- Типичные возможности SIEM
- Архитектура SIEM и её компоненты
- SIEM решения
- Развертывание SIEM
- Обнаружение инцидентов с SIEM
- Примеры распространённых случаев использования SIEM
- Обработка и анализ оповещений
- Улучшенное обнаружение инцидентов с помощью киберразведки
**Понимание киберразведки:**
- Зачем SOC, управляемый киберразведкой?
**Реагирование на инциденты:**
- Реагирование на инциденты
- Команда реагирования на инциденты (IRT)
- Место IRT в организации
- Взаимодействие SOC и IRT
- Обзор процесса реагирования на инциденты:
- Шаг 1: Подготовка к реагированию на инциденты
- Шаг 2: Запись и назначение инцидента
- Шаг 3: Классификация инцидента
- Шаг 4: Уведомление
- Шаг 5: Изоляция
- Шаг 6: Сбор доказательств и судебная экспертиза
- Шаг 7: Устранение
- Шаг 8: Восстановление
- Шаг 9: Деятельность после инцидента
**Реагирование на инциденты в области сетевой безопасности:**
- Реагирование на инциденты в области безопасности приложений
- Реагирование на инциденты с электронной почтой
- Реагирование на инциденты, связанные с инсайдерами
- Реагирование на инциденты с вредоносным ПО