مسترکلاس مهندسی تشخیص - بخش 1

آنچه یاد خواهید گرفت:

• درک توابع مختلف امنیتی
• راه اندازی لاگ‌کردن پیشرفته و قابلیت SIEM
• توانایی تریگر کردن و ایجاد تشخیص‌های خود در SIEM
• یاد می‌گیرید چگونه از طریق Atomic Red Team حملات را اجرا کنید.

توضیحات دوره

به مسترکلاس مهندسی تشخیص - بخش 1 خوش آمدید.

بررسی دوره بخش 2

این دوره ابتدا تئوری‌های مربوط به عملیات‌های امنیتی و مهندسی تشخیص را آموزش می‌دهد. سپس شروع به ساخت لابراتوار خانگی خود با استفاده از VirtualBox و پیشنهادات امنیتی Elastic خواهیم کرد. بعد از آن، سه سناریوی حمله مختلف را بررسی خواهیم کرد که هرکدام پیچیده‌تر از قبلی هستند. ما از حملات خود شناسایی انجام خواهیم داد و یاد می‌گیریم که چگونه شناسایی‌هایمان را مستند کنیم. سپس با نوشتن اسکریپت‌های اعتبارسنجی و یادگیری نحوه تعامل با Elastic از طریق API آنها، بیشتر به کدنویسی و پایتون می‌پردازیم. در پایان، تمام شناسایی‌های خود را در گیت‌هاب میزبانی کرده و با استفاده از اتوماسیون‌های GitHub Action خود با Elastic همزمان خواهیم شد. همچنین در بخش نهایی، نحوه نوشتن اسکریپت‌ها برای جمع‌آوری متریک‌های مهم و مصورسازی‌ها را خواهیم داشت.

این دوره دانشجویان را از صفر تا صد در مورد چرخه‌ عمر مهندسی تشخیص و پیاده‌سازی فنی معماری مهندسی تشخیص راهنمایی می‌کند.

در حالی که این دوره به عنوان یک دوره مقدماتی بازاریابی شده است، هرگونه دانش پیش‌نیاز کمک زیادی به منحنی یادگیری دوره می‌کند. آشنایی با عملیات‌های امنیت، جستجوی لاگ‌ها، تحلیل امنیت یا هر مهارت مرتبط دیگر کمک‌کننده خواهد بود (اگرچه در نهایت لازم نیست).

بررسی بخش 1

این، بخش اول از یک سری دو قسمتی درباره‌ مهندسی تشخیص است. این دوره برای شروع سریع کسی که به تحلیل امنیت، مهندسی تشخیص و معماری امنیت علاقه‌مند است، طراحی شده است.

بخش اول هسته‌ دوره است، جایی که ما به موارد زیر خواهیم پرداخت:

• تئوری مهندسی تشخیص
• راه‌اندازی لابراتوار
• کار با لاگ‌ کردن و SIEM خودمان
• اجرای سناریوهای حمله برای تولید لاگ‌ها و ایجاد هشدارها
• یاد می‌گیرید چگونه از Atomic Red Team برای تست استفاده کنید.

بخش دوم به فلسفه‌های تشخیص به عنوان کد پرداخته می‌شود که شامل کدنویسی زیاد با پایتون و گیت‌هاب خواهد بود (اما نگران نباشید، ما شما را گام‌به‌گام راهنمایی می‌کنیم.)

در پایان این دوره دو قسمتی، شما یک معماری مهندسی تشخیص تمام‌ عیار خواهید داشت. شما قادر به انجام موارد زیر خواهید بود:

• اجرای تست‌های تهاجمی 
• بررسی لاگ‌ها
• ساخت هشدارها 
• ذخیره هشدارها با استفاده از قالب استاندارد 
• اجرای داده قالب از طریق کد 
• پوش کردن هشدارها به‌صورت برنامه‌ای به SIEM 
• اجرای متریک‌های دوره‌ای از داده‌ تشخیص

کل دوره حدود 11 ساعت طول خواهد کشید، اما باید حدود 20 تا 40 ساعت برای کامل کردن آن وقت بگذارید. تمام کد نوشته شده در گیت‌هاب دوره در دسترس خواهد بود در صورتی که بخواهید بخش‌های پر از پایتون را نادیده بگیرید.

پیش‌نیازهای دوره

توانایی اجرای 2 تا 3 ماشین مجازی روی یک ماشین محلی:

• لینوکس اوبونتو
• ParrotOS
• ویندوز 11

حداقل پیش‌نیازها

• CPU با 4 هسته 
• رم 8 گیگابایت
• فضای هارد دیسک 50 گیگابایتی

پیش‌نیازهای پیشنهادی

• CPU با بیش از 6 هسته
• رم 16 گیگابایت به بالا
• فضای هارد دیسک بالای 50 گیگابایت

شما به‌طور تکنیکی قادر به کار با میزبان اصلی با تنها چند هسته و 8 گیگابایت رم هستید، اما هر منبع اضافی که می‌توانید به ماشین‌های مجازی خود اختصاص دهید، روند کار را هموارتر خواهد کرد.

این دوره برای چه کسانی مناسب است؟

• تحلیلگران امنیت
• پاسخ‌دهندگان به حادثه
• مهندسان تشخیص
• دانشجویان دانشگاه در حوزه امنیت سایبری