Title

1. Znaczenie analizy logów w cyberbezpieczeństwie
Analiza logów jest czynnością konieczną, a niestety pomijaną.
2. Jak wykrywać i reagować na zdarzenia związane z cyberbezpieczeństwem
Dlaczego warto monitorować i czego nie dadzą nam klasyczne systemy bezpieczeństwa IT.
Pojęcie SOC: Security Operations Center.
Organizacja SOC.
Techniczne systemy składowe SOC.
3. Systemy SIEM – Security Information and Event Management
Gromadzenie i analiza logów.
Zadania i działanie SIEM, skąd pobiera dane.
Co można osiągnąć za pomocą SIEM w kontekście modelu MITRE ATT&CK.
Modele funkcjonowania SIEM.
4. Zarządzanie podatnościami
Terminy: podatność, CVE, CVSS.
Oprogramowanie OpenVAS i Nessus.
Bazy Threat Intelligence.
5. Monitorowanie sieci jako sensor bezpieczeństwa
Wykorzystanie NetFlow do analizy bezpieczeństwa komunikacji.
Analiza behawioralna w komunikacji: Sandboxing i analiza zagrożeń.
6. SIEM w praktyce
Instalacja, konfiguracja i zasilenie danymi.
Przegląd interfejsu i dashboardów.
Instalacja i konfiguracja agentów na komputerach i serwerach: Host IDS.
Bazy Threat Intelligence.
Utrzymanie i aktualizacja bazy urządzeń monitorowanych.
Skanowanie podatności systemem OpenVAS i wzbogacanie danych.
Network IDS.
Korelacja zdarzeń.
Wykrywanie zwielokrotnionych zagrożeń malware – integracja z programami AV.
Wykrywanie ataków sieciowych: ARP Spoofing, DHCP Starvation, MAC Flooding.
Identyfikacja narzędzi hakerskich i skanerów.
Monitorowanie integralności plików i rejestrów systemowych.
Analiza logów z aplikacji.
Monitorowanie instalacji aplikacji.
Wykrywanie ataków brute-force i blokowanie kont.
Analiza dostępu administracyjnego – nietypowe godziny logowania.
Wykrywanie ataków typu Data Leak.
Wykrywanie komunikacji typu reverse shell.
Monitorowanie bezpieczeństwa sieci WLAN.
Identyfikacja tunelowania ruchu, proxy oraz aplikacji zdalnego dostępu (np. TeamViewer).
Wykrywanie ataków aplikacyjnych: XSS, SQL Injection, Path Traversal.
7. Sieć jako sensor – narzędzia i metody
Oprogramowanie ntop.
Wykrywanie ataków Denial of Service (DoS).
Identyfikacja skanowań sieciowych.
Wykrywanie komunikacji stałej i wycieków danych (Data Leak Protection).
Analiza ruchu do lokalizacji wysokiego ryzyka z wykorzystaniem baz Threat Intelligence.
Obserwacja ruchu sieciowego na podstawie geolokalizacji.
Wykrywanie domen automatycznie generowanych (DGA).
8. Oprogramowanie Elastic Search Stack
Instalacja i zasilenie ruchem.
Analiza ruchu sieciowego na podstawie różnych kryteriów.
Generowanie raportów dotyczących usług i par komunikacyjnych.