Оборонительная безопасность от А до Я: работа в SOC, анализ логов, SIEM (Splunk, ELK, QRadar), написание Sigma-правил, EDR, Threat Intelligence и Threat Hunting. 45 уроков, после которых ты станешь тем, кто ловит хакеров, а не тем, кого ловят.
Чему ты научишься
✓Понимать структуру и работу SOC (L1/L2/L3)
✓Анализировать логи из различных источников (Syslog, Event Log, journald)
✓Разворачивать и работать в SIEM-системах (Splunk, ELK, QRadar)
✓Писать Sigma-правила и корреляционные запросы
✓Настраивать IDS/IPS (Snort, Suricata) и сетевую аналитику (Zeek)
✓Работать с EDR и endpoint-мониторингом (Sysmon, Velociraptor)
Проводить Threat Hunting по методологии MITRE ATT&CK
✓Создавать Incident Response Playbooks и автоматизировать реагирование (SOAR)
✓Снижать false positives и тюнинговать правила детекции
Что нужно знать
•Понимание основ сетей и операционных систем
•Базовые знания кибербезопасности (типы атак, CIA-триада)
•Опыт работы в IT приветствуется
Программа
T1
Основы SOC
Прежде чем ловить атакующих, нужно понять как устроена защита: SOC, логи, мониторинг — фундамент, на котором строится вся оборона.
M1
Security Operations Center
5 карт · 5 шагов · тест 14 вопросов
Как устроен SOC изнутри: уровни, роли, метрики — и почему именно SOC-аналитик стоит на передовой кибервойны.
1.
Что такое SOC: структура и ролиSOC — это нервный центр кибербезопасности организации, работающий 24/7/365. Внутри — чёткая иерархия от аналитиков до менеджера, каждый со своей зоной ответственности. Без SOC компания узнаёт о взломе из новостей.1 шагов
2.
SOC Analyst: уровни L1, L2, L3L1 — первая линия, triage алертов за 5 минут. L2 — глубокое расследование, корреляция событий. L3 — threat hunting, reverse engineering и создание детекций. Карьерный путь: от $50K на L1 до $180K+ на L3 за 5-7 лет.1 шагов
3.
Процессы SOC: triage, escalation и workflowБез формализованных процессов SOC — это хаос. Alert triage за 15 минут, escalation matrix с чёткими критериями, тикет-система как единый источник правды, SLA как контракт с бизнесом. Процесс важнее инструмента.1 шагов
4.
Метрики SOC: MTTD, MTTR и KPIБез метрик SOC — чёрный ящик. MTTD показывает, как быстро находим угрозу. MTTR — как быстро устраняем. Dwell time — сколько атакующий гуляет по сети незамеченным. False positive rate определяет, тонет ли команда в мусоре. Измеряй или умри.1 шагов
5.
Построение домашней SOC-лабораторииДомашняя SOC-лаба — это твой полигон: Windows VM с Sysmon генерирует логи, ELK Stack их собирает и визуализирует, Atomic Red Team имитирует атаки. За один вечер ты получаешь рабочий мини-SOC, на котором можно тренироваться круглосуточно.1 шагов
M2
Анализ логов
5 карт · 5 шагов · тест 14 вопросов
Syslog, Event Log, journald — учишься читать логи как книгу и находить следы атакующего в потоке событий.
1.
Windows Event Logs: структура и ключевые событияКак устроены Windows Event Logs, какие каналы существуют, как читать evtx-файлы и какие Event ID критичны для SOC-аналитика.1 шагов
2.
Windows Security Events: логоны, процессы, PowerShellГлубокий разбор Event ID 4624/4625 (логоны), 4688 (процессы), 4104 (PowerShell ScriptBlock) и 4672 (спецпривилегии) — основные источники для обнаружения атак.1 шагов
3.
Linux логи: syslog, journald и auth.logСтруктура логирования в Linux: syslog и journald, анализ auth.log для детекции SSH brute force, настройка rsyslog для централизованного сбора логов.1 шагов
4.
Firewall и proxy логи: анализ сетевого трафикаАнализ логов firewall (pfSense, iptables), proxy-серверов (Squid), WAF и NetFlow для обнаружения сетевых атак и аномалий.
T2
SIEM и детекция
Сердце SOC — SIEM-система. Splunk, ELK, Sigma-правила, EDR — собираешь, коррелируешь и детектишь угрозы на всех уровнях.
M3
SIEM Splunk и ELK
5 карт · 5 шагов · тест 13 вопросов
Как устроен SOC изнутри: уровни, роли, метрики — и почему именно SOC-аналитик стоит на передовой кибервойны.
1.
Что такое SIEM и зачем он нуженSIEM собирает логи со всей инфраструктуры в одну точку, коррелирует события и выдаёт алерты. Без SIEM атакующий может месяцами жить в сети — средний dwell time составляет 204 дня.1 шагов
2.
Splunk: установка и первые запросы SPLSplunk Enterprise ставится за 5 минут и принимает данные из коробки. SPL — язык поиска Splunk — позволяет находить иголку в стоге из миллионов событий с помощью search, stats, table, where и eval.1 шагов
3.
Splunk advanced: поиск, корреляция и dashboards
T3
Endpoint и Threat Intelligence
Высший уровень Blue Team: не ждёшь алерт, а сам ищешь угрозы. Threat Intelligence, Hunting и автоматизация реагирования.
M6
EDR и endpoint detection
5 карт · 5 шагов · тест 14 вопросов
Как устроен SOC изнутри: уровни, роли, метрики — и почему именно SOC-аналитик стоит на передовой кибервойны.
1.
EDR: что это и как работаетEPP ловит известные угрозы по сигнатурам, EDR видит поведение и даёт расследование, XDR объединяет endpoint + сеть + облако — и 70% атак обнаруживаются именно на endpoint, а не на периметре1 шагов
2.
Sysmon: установка и конфигурацияSysmon — бесплатный драйвер от Microsoft, который превращает Windows Event Log из бесполезного журнала в полноценную EDR-телеметрию: 29 типов событий, от создания процессов до DNS-запросов, с конфигом SwiftOnSecurity из коробки1 шагов
3.
T4
Реагирование и оптимизация
M9
Incident Response playbooks
5 карт · 5 шагов · тест 13 вопросов
Как устроен SOC изнутри: уровни, роли, метрики — и почему именно SOC-аналитик стоит на передовой кибервойны.
1.
NIST IR framework: 4 фазы реагированияNIST SP 800-61 определяет 4 фазы Incident Response: Preparation, Detection & Analysis, Containment/Eradication/Recovery и Post-Incident Activity. Каждая фаза — не абстракция, а конкретный чеклист действий, без которого SOC превращается в хаос.1 шагов
2.
Playbook: фишинговое письмоПошаговый playbook реагирования на фишинг: от получения алерта до containment. Разбираем заголовки email (SPF/DKIM/DMARC), анализируем URL и вложения в песочнице, изолируем угрозу и уведомляем пользователей. Фишинг — вектор №1, и ваш playbook должен работать как часы.1 шагов
3.
Playbook: malware на endpoint
1 шагов
5.
Корреляция событий из разных источниковМетоды cross-source корреляции логов, построение таймлайнов атаки, детекция lateral movement через корреляцию и Python-скрипт для автоматической корреляции событий.1 шагов
Subsearch, join и transaction связывают события из разных источников в единую картину атаки. Lookup обогащает данные контекстом, а dashboards превращают SOC в центр управления с визуализацией угроз в реальном времени.
1 шагов
4.
ELK Stack: Elasticsearch, Logstash, KibanaELK Stack — бесплатный SIEM-стек, который разворачивается через Docker Compose за 10 минут. Beats собирают логи, Logstash парсит и обогащает, Elasticsearch хранит и ищет, Kibana визуализирует. Используется в 42% SOC по миру.1 шагов
5.
Создание алертов и правил детекции в SIEMАлерты и правила детекции — это автопилот SOC. Scheduled searches проверяют логи по расписанию, threshold alerts ловят аномалии по порогам, correlation searches связывают события в цепочки атак. Без правил SIEM — просто дорогое хранилище логов.1 шагов
M4
Sigma rules и правила детекции
5 карт · 5 шагов · тест 15 вопросов
Syslog, Event Log, journald — учишься читать логи как книгу и находить следы атакующего в потоке событий.
1.
Sigma: универсальный язык правил детекцииSigma — это YAML-формат описания правил детекции, который работает с любым SIEM. Один раз написал — конвертируй в Splunk, ELK, QRadar и десятки других платформ1 шагов
2.
Написание Sigma rules: от простого к сложномуМодификаторы (contains, endswith, re), агрегации (count, near), timeframe — инструменты, которые превращают простое совпадение строк в интеллектуальную детекцию поведения1 шагов
3.
Конвертация Sigma в Splunk, ELK и QRadarpySigma и sigma-cli превращают YAML-правила в боевые запросы для любого SIEM. Pipelines маппят поля, backends генерируют синтаксис, а CI/CD автоматизирует всё1 шагов
4.
YARA rules: детекция malware по сигнатурамYARA — швейцарский нож для поиска малвари: строковые паттерны, hex-последовательности, PE-модуль и математические аномалии. Одно правило может найти целое семейство вредоносов1 шагов
5.
Детекция MITRE ATT&CK техник через правилаSigmaHQ покрывает 70%+ техник ATT&CK из коробки. Detection coverage matrix показывает дыры, gap analysis приоритизирует, а маппинг Sigma→ATT&CK превращает хаос правил в стратегию защиты1 шагов
M5
IDS IPS и сетевая детекция
5 карт · 5 шагов · тест 13 вопросов
PCAP, Suricata, Snort, Zeek — перехватываешь и анализируешь трафик, обнаруживая сетевые атаки в реальном времени.
1.
Snort: установка и написание правилSnort 3 — движок сетевой детекции. Учимся устанавливать, разбираем анатомию правил (action, protocol, src/dst, options), пишем content/pcre/flow и ловим реальные атаки в трафике.1 шагов
2.
Suricata и преимущества над SnortSuricata — многопоточная IDS/IPS нового поколения. Разбираем EVE JSON, автоопределение протоколов, multi-threading, suricata-update и прямое сравнение с Snort на реальных метриках.1 шагов
3.
Zeek (Bro): сетевой мониторинг и скриптыZeek — не IDS, а сетевой микроскоп. Разбираем conn.log, dns.log, http.log, ssl.log, учимся писать Zeek-скрипты и подключаем Intelligence Framework для автоматической детекции IoC.1 шагов
4.
Анализ PCAP файлов: Wireshark и tsharkPCAP — золотой стандарт сетевой форензики. Осваиваем display filters, follow stream, protocol hierarchy в Wireshark. Автоматизируем анализ через tshark CLI. Извлекаем файлы, пароли и артефакты из захваченного трафика.1 шагов
5.
Детекция C2, DNS tunneling и lateral movementТри столпа сетевой детекции: обнаруживаем C2-beaconing через jitter-анализ, ловим DNS tunneling по энтропии и длине запросов, детектим lateral movement через SMB/WMI/PsExec. Реальные кейсы и готовый код.1 шагов
Sysmon: анализ событий и детекция атак
Каждый Event ID Sysmon — это детектор конкретной техники ATT&CK: Process Creation (1) ловит initial access и execution, Network Connection (3) — C2, CreateRemoteThread (8) — инъекции, Registry (12/13) — persistence, а цепочка из 3-4 событий рассказывает полную историю атаки
1 шагов
4.
Velociraptor: endpoint visibility и forensicsVelociraptor — open-source DFIR-платформа с собственным языком запросов VQL, которая позволяет за минуты опросить тысячи endpoints, собрать артефакты, построить timeline и провести полноценное расследование — бесплатная альтернатива CrowdStrike Falcon для hunting1 шагов
5.
Wazuh: open-source EDR и SIEMWazuh — полностью бесплатная платформа, объединяющая SIEM, EDR, FIM, vulnerability detection и compliance в одном решении: Docker-установка за 10 минут, 1700+ встроенных правил детекции, active response для автоматической блокировки атак1 шагов
M7
Threat Intelligence
5 карт · 5 шагов · тест 13 вопросов
Syslog, Event Log, journald — учишься читать логи как книгу и находить следы атакующего в потоке событий.
1.
Threat Intelligence: основы и типыThreat Intelligence — это не просто фиды с IP-адресами. Это процесс превращения сырых данных об угрозах в actionable intelligence для принятия решений. Разбираем 4 уровня TI, Intelligence Cycle и кто в SOC потребляет каждый тип.1 шагов
2.
IoC: индикаторы компрометации и feedsIoC — это цифровые следы атакующего: IP, домены, хэши, URL. Но сами по себе они бесполезны без контекста и автоматизации. Разбираем типы IoC, форматы обмена STIX/TAXII и подключаем open-source фиды AlienVault OTX и Abuse.ch.1 шагов
3.
MITRE ATT&CK для Blue TeamMITRE ATT&CK — не только для Red Team. Blue Team использует ATT&CK Navigator для визуализации coverage, поиска detection gaps и приоритизации инвестиций. Добавляем D3FEND для маппинга defensive countermeasures на техники атакующих.1 шагов
4.
Threat Intelligence Platforms: MISP и OpenCTIMISP и OpenCTI — два столпа open-source TI-платформ. MISP — зрелая, event-based система для обмена IoC. OpenCTI — современная, STIX2-native платформа с графами связей. Оба интегрируются с SIEM и друг с другом. Разворачиваем, настраиваем, подключаем фиды.1 шагов
5.
Pyramid of Pain и приоритизация индикаторовНе все IoC одинаково полезны. Pyramid of Pain Дэвида Бьянко показывает: блокировка хэшей — тривиальна для атакующего, а детект TTPs — причиняет ему реальную боль. Учимся приоритизировать индикаторы, инвестировать в правильные детекты и мыслить как атакующий.1 шагов
M8
Threat Hunting
5 карт · 5 шагов · тест 13 вопросов
PCAP, Suricata, Snort, Zeek — перехватываешь и анализируешь трафик, обнаруживая сетевые атаки в реальном времени.
1.
Threat Hunting: методология и подходReactive SOC обнаруживает 24% атак. Proactive hunting поднимает этот показатель до 85%. Hunting Maturity Model определяет, на каком уровне ваша команда, а PEAK framework даёт структуру для каждого hunt-цикла.1 шагов
2.
Hypothesis-driven hunting: формулировка гипотезГипотеза — это не 'посмотрим что найдём'. Это конкретное, проверяемое утверждение с привязкой к ATT&CK-технике, источнику данных и ожидаемому результату. Правильная гипотеза превращает hunting из рыбалки в снайперский выстрел.1 шагов
3.
Hunting в логах Windows и SysmonSysmon превращает слепой Windows-аудит в рентген: видит каждый процесс, каждое сетевое соединение, каждое изменение реестра. Без Sysmon вы охотитесь вслепую — с ним вы видите шаги атакующего раньше, чем он достигнет цели.1 шагов
4.
Hunting в сетевом трафике и DNSDNS — это протокол, который нельзя заблокировать и который проходит через любой файрвол. Именно поэтому 91% малвари использует DNS для C2-коммуникаций. Hunting в DNS и сетевом трафике ловит то, что endpoint-детекция пропускает.1 шагов
5.
Автоматизация hunting: Jupyter и PythonРучной hunting не масштабируется. Jupyter Notebook + pandas + MSTICPy превращают повторяющиеся hunts в воспроизводимые, документированные и визуализированные workflows. Один notebook заменяет 50 SPL-запросов и 3 часа ручной работы.1 шагов
Пошаговый playbook при обнаружении malware на рабочей станции: алерт EDR, сетевая изоляция, снятие memory dump, триаж (static + dynamic анализ), eradication persistence-механизмов и извлечение IOC для hunt-операций по всей инфраструктуре.
1 шагов
4.
Playbook: компрометация учётной записиPlaybook реагирования на Account Compromise: детекция через impossible travel и MFA bypass, анализ сессий и активности, немедленный password reset и revoke tokens, оценка scope — какие данные и системы затронуты. Учётная запись — это ключ от королевства.1 шагов
5.
Playbook: ransomware инцидентRansomware — самый разрушительный тип инцидента. Playbook: немедленная сетевая изоляция (НЕ выключение!), верификация бэкапов, forensics для определения вектора входа, юридическая координация, восстановление из clean backups. Платить выкуп — последнее средство, и даже оно не гарантирует результат.1 шагов
M10
Tuning и оптимизация SOC
5 карт · 5 шагов · тест 14 вопросов
Syslog, Event Log, journald — учишься читать логи как книгу и находить следы атакующего в потоке событий.
1.
False Positives: идентификация и устранениеКак классифицировать ложные срабатывания, выстроить методологию тюнинга правил, грамотно применять whitelisting и threshold adjustment, чтобы SOC не захлебнулся в мусорных алертах.1 шагов
2.
Alert Fatigue и приоритизация алертовКак alert fatigue убивает SOC изнутри, как выстроить risk-based приоритизацию, создать scoring-модель алертов и системно снизить шум до управляемого уровня.1 шагов
3.
SOAR: автоматизация реагированияКак SOAR-платформы (Shuffle, XSOAR, TheHive) автоматизируют рутину SOC: от enrichment до auto-response. Строим playbook, который за секунды делает то, на что аналитику нужен час.1 шагов
4.
SOC Maturity Model и развитие командыКак оценить зрелость SOC по модели SOC-CMM, выстроить найм, обучение и удержание аналитиков, спланировать карьерные пути и сертификации (BTL1, CySA+, GCIH) — чтобы SOC не развалился от текучки.1 шагов
5.
Финальный проект: расследование инцидента от алерта до отчётаКапстоун-проект: полная цепочка расследования реального инцидента — от первого алерта в SIEM до финального отчёта руководству. Alert → Triage → Investigation → Containment → Eradication → Recovery → Report. Используем всё, чему научились за курс.1 шагов
