Построй свой SOC с нуля! Splunk, ELK Stack, Sigma Rules — от первого лога до автоматизированного реагирования на инциденты. Курс, который превращает новичка в востребованного SOC-аналитика с практическими навыками!
Чему ты научишься
✓развернуть SIEM-лабораторию на Splunk и ELK Stack
✓писать SPL-запросы для поиска и анализа событий безопасности
✓настраивать Logstash для сбора и нормализации логов
✓создавать дашборды и визуализации в Splunk и Kibana
✓писать кастомные Sigma-правила для детекции атак
✓конвертировать Sigma-правила в SPL и KQL
✓настраивать алерты и базовую SOAR-автоматизацию
Что нужно знать
•базовое понимание сетевых протоколов и операционных систем
•знание основ информационной безопасности
•опыт работы с Linux (для развёртывания ELK)
•понимание форматов логов (syslog, JSON, CSV)
Программа
M1
Введение в SIEM
4 карт · 4 шагов · тест 12 вопросов
Зачем нужен SIEM и как он работает — архитектура, источники логов и развёртывание собственной лаборатории для обучения
1.
Что такое SIEM и зачем он нуженSIEM — это центральная нервная система SOC: собирает логи со всей инфраструктуры, нормализует, коррелирует события и выдаёт алерты. Без SIEM среднее время обнаружения атаки — 287 дней, с SIEM — 108.1 шагов
2.
Архитектура SIEM: сбор, нормализация, корреляцияПод капотом SIEM — конвейер из пяти этапов: сбор → парсинг → нормализация → индексация → корреляция. Понимание архитектуры позволяет оптимизировать производительность и писать точные правила детекции.1 шагов
3.
Источники логов: endpoints, сеть, приложенияSIEM работает ровно настолько хорошо, насколько качественны его источники. Windows Event Log, Sysmon, syslog, firewall, proxy, DNS, cloud — каждый источник покрывает свой сегмент Kill Chain. Без правильного набора источников SIEM слеп.1 шагов
4.
Развёртывание SIEM-лабораторииПоднимаем полноценную SIEM-лабораторию: Splunk Free + ELK Stack в Docker, генерируем тестовые логи, подключаем Windows и Linux источники. Всё на одной машине с 16GB RAM.1 шагов
M2
Splunk на практике
5 карт · 5 шагов · тест 13 вопросов
Splunk — король коммерческих SIEM. Освой SPL от базовых запросов до продвинутой аналитики, дашбордов и настройки алертов
1.
Установка и настройка SplunkSplunk — индустриальный стандарт SIEM. Разбираем архитектуру (Indexer, Search Head, Forwarder), настраиваем inputs, индексы, роли пользователей и apps. После этого урока Splunk готов принимать продакшн-данные.1 шагов
2.
SPL: базовые запросы и фильтрацияSPL (Search Processing Language) — язык запросов Splunk. Базовые команды: search, where, table, fields, dedup, sort, rename. Освоив фильтрацию, ты сможешь находить любое событие среди миллионов за секунды.1 шагов
3.
SPL: статистика, группировка и визуализацияПродвинутый SPL: stats, chart, timechart, eventstats, streamstats, transaction. Эти команды превращают сырые логи в аналитику — тренды, аномалии, baseline. Основа для дашбордов и алертов.1 шагов
4.
Создание дашбордов и отчётовДашборды Splunk — главный инструмент визуализации SOC. Создаём панели из SPL-запросов, настраиваем layout, drill-down, токены и inputs. Результат — полноценный SOC Operations Dashboard с real-time мониторингом угроз.
M3
ELK Stack
5 карт · 5 шагов · тест 12 вопросов
Бесплатная альтернатива Splunk — Elasticsearch, Logstash, Kibana. Полный цикл от сбора логов до красивых визуализаций и сравнение с Splunk
Настройка Logstash для сбора логовLogstash — конвейер обработки данных ELK. Настраиваем input (beats, syslog, file), filter (grok, mutate, geoip, date) и output (elasticsearch). Парсим Windows Security, Linux syslog и firewall-логи в ECS-формат.1 шагов
3.
Поиск и анализ данных в KibanaKibana Discover — рабочий инструмент SOC-аналитика. Настраиваем Data Views, используем KQL для поиска угроз, применяем фильтры, сохраняем поиски. Расследуем инцидент от первого алерта до полной картины атаки.1 шагов
4.
Создание визуализаций и дашбордов в Kibana
M4
Sigma Rules и автоматизация
4 карт · 4 шагов · тест 12 вопросов
Универсальный язык детекции — пиши правила один раз, используй в любом SIEM. Sigma, конвертация и первые шаги в SOAR-автоматизации
1.
Формат Sigma: универсальные правила детекцииSigma — универсальный формат правил детекции. Одно правило → конвертация в SPL, KQL, Query DSL, QRadar. Разбираем синтаксис YAML, логику detection, маппинг на MITRE ATT&CK. Sigma делает правила переносимыми между любыми SIEM.1 шагов
2.
Написание кастомных Sigma-правилПишем Sigma-правила для реальных атак: Lateral Movement, Persistence, Defense Evasion, Exfiltration. Используем сложную логику: агрегации, корреляции, temporal proximity. Каждое правило — маппинг на MITRE ATT&CK с тестированием.1 шагов
3.
Конвертация Sigma в SPL и KQLАвтоматическая конвертация Sigma-правил в запросы для Splunk (SPL), Elasticsearch (KQL/DSL) и Microsoft Sentinel (Kusto). Настраиваем pipelines, field mappings, CI/CD деплой правил. Результат — единая кодовая база детекций для любого SIEM.1 шагов
4.
1 шагов
5.
Настройка алертов и триггеровАлерты Splunk — автоматический SOC-аналитик. Настраиваем scheduled и real-time алерты, trigger conditions, throttling, alert actions (email, webhook, script). Строим систему уведомлений по MITRE ATT&CK тактикам.1 шагов
Kibana Dashboard — центр управления SOC. Строим визуализации через Lens, собираем SOC Operations Dashboard с KPI, таймлайнами, картами и таблицами. Drill-down, фильтры, auto-refresh — всё для 24/7 мониторинга.
1 шагов
5.
Сравнение Splunk vs ELK для SOCSplunk vs ELK — не вопрос 'что лучше', а вопрос 'что подходит'. Сравниваем по 10 критериям: стоимость, масштабирование, язык запросов, алертинг, SIEM-функции, сообщество. Практические сценарии выбора для разных SOC.1 шагов
Автоматизация реагирования: SOAR-интеграции
SOAR (Security Orchestration, Automation and Response) — финальный уровень зрелости SOC. Автоматизируем реагирование: от алерта SIEM до блокировки IP, изоляции хоста и создания тикета. Shuffle, TheHive, Cortex — open-source SOAR-стек.
