Мини-курсСредний6 мин3 модуля · 12 карт · 12 шагов

Windows Event Log Analysis

Name: Windows Event Log Analysis
Price: 3990 RUB
Availability: InStock

Купить за 3 990 ₽В корзину$44⚡ Тестовый режим: реальной оплаты не произойдёт

О курсе

Windows-логи — главное оружие SOC-аналитика! Научись читать Event ID как открытую книгу, обнаруживать Pass-the-Hash, lateral movement и persistence по логам. Навыки, за которые платят от $80K в год!

Чему ты научишься

понимать архитектуру Windows Event Log и каналы логирования
настраивать расширенный аудит и Sysmon для максимального покрытия
анализировать события входа (4624, 4625, 4648) для обнаружения атак
обнаруживать Pass-the-Hash и Pass-the-Ticket по логам
детектировать lateral movement и persistence через события Windows
строить таймлайн инцидента на основе Windows-логов

Что нужно знать

Программа

Архитектура логов Windows

4 карт · 4 шагов · тест 13 вопросов

Фундамент форензики — как устроены Windows-логи, какие каналы критичны и как Sysmon превращает стандартный аудит в мощную систему детекции

1.
Структура Windows Event Log (EVTX)Как устроен формат EVTX изнутри: бинарная структура файлов, chunks, XML-представление событий и инструменты парсинга для форензики.1 шагов
2.
Каналы логов: Security, System, ApplicationРазбор трёх основных каналов Windows Event Log — что записывается в каждый, какие Event ID критичны для расследований и как фильтровать события.1 шагов
3.
Настройка расширенного аудита (Advanced Audit Policy)Как настроить Advanced Audit Policy Configuration для максимальной видимости событий безопасности: GPO, auditpol, категории аудита и лучшие практики.1 шагов
4.
Сбор логов с помощью SysmonУстановка, настройка и использование Sysmon для расширенной телеметрии: конфигурация SwiftOnSecurity, ключевые Event ID и интеграция с SIEM.1 шагов

Ключевые события безопасности

4 карт · 4 шагов · тест 14 вопросов

Event ID 4624, 4625, 4688 — числа, которые должен знать каждый аналитик. Учимся читать логи входа, процессов и сетевых подключений

1.
Анализ событий входа: 4624, 4625, 4648Глубокий разбор событий аутентификации Windows: типы входа (Logon Type), анализ неудачных попыток, explicit credentials и детекция brute force, password spray, Pass-the-Hash.1 шагов
2.
Управление учётными записями: 4720, 4732, 4738Мониторинг создания учётных записей, добавления в группы и изменения атрибутов: детекция backdoor-аккаунтов, privilege escalation и persistence через управление пользователями.1 шагов
3.
Отслеживание процессов: 4688 и Sysmon Event ID 1Анализ создания процессов через Event ID 4688 и Sysmon Event ID 1: командные строки, parent-child relationships, детекция execution-техник и LOLBins.1 шагов
4.
Сетевые подключения: 5156 и Sysmon Event ID 3Мониторинг сетевых соединений через Event ID 5156 (WFP) и Sysmon Event ID 3: детекция C2-каналов, reverse shells, lateral movement и DNS-туннелирования.

Hunting в логах

4 карт · 4 шагов · тест 13 вопросов

Threat hunting на практике — обнаруживаем реальные атаки по логам и строим полный таймлайн инцидента как настоящий форензик-эксперт

1.
Обнаружение Pass-the-Hash и Pass-the-TicketДетекция PtH и PtT атак через Windows Event Log: аномалии в событиях аутентификации (4624, 4768, 4769, 4776), Logon Type 9, NTLM downgrade и Kerberos-аномалии.1 шагов
2.
Детекция lateral movement через логиОбнаружение перемещения по сети через Windows-логи: PsExec, WMI, WinRM, RDP, DCOM — характерные Event ID, паттерны и скрипты детекции для каждой техники.1 шагов
3.
Поиск persistence: scheduled tasks, services, registryОбнаружение механизмов закрепления в системе через Windows-логи: создание задач планировщика, установка служб, модификация ключей автозапуска реестра и детекция через Event ID.1 шагов
4.
Построение таймлайна инцидента из Windows-логовМетодология построения timeline инцидента: сбор логов с нескольких систем, корреляция событий, инструменты (EvtxECmd, Hayabusa, Timeline Explorer) и практика реконструкции атаки.