SOC od podstaw. Kurs video. 100 pytań z SIEM, alertów i analizy incydentów

Nowość

Promocja

Adam Józefiok

Podstawowe informacje:

Czas trwania: 14:04:17

Poziom: podstawowy/średnio zaawansowany

Autor: Adam Józefiok

Liczba lekcji: 107

Dla firm

Rozwiń umiejętności swoich pracowników dzięki kursom video

Dowiedz się więcej

Monitorowanie postępów pracowników. Przejrzyste raporty i imienne certyfikaty ukończenia kursów
Atrakcyjne rabaty dla zespołów. Im więcej pracowników liczy zespół, tym większy uzyskasz rabat
Doradztwo w wyborze tematyki szkoleń. Mamy setki kursów, dostosujemy program nauczania pod Twój zespół

Indywidualnie

424,15 zł ~~499,00 zł~~ (-15%)

499,00 zł najniższa cena z 30 dni Dodaj do koszyka

Dostępny natychmiast po opłaceniu zakupu

Do przechowalni

Korzyści:

Certyfikat ukończenia
Test online
Dożywotni dostęp
Dostęp w aplikacji (także offline)
Napisy w języku polskim

Czego się nauczysz?

Analizy alertów bezpieczeństwa i odróżniania realnych zagrożeń od false positive
Pracy z systemami SIEM służącymi do zbierania i analizy logów bezpieczeństwa, logami, regułami korelacyjnymi, dekoderami i metryką EPS
Interpretowania surowych logów (raw logs) i tworzenia podstawowych zapytań w KQL, SPL i EQL
Analizy zdarzeń Windows, takich jak Event ID 4624 i 4625, w kontekście logowań i ataków brute force
Wykrywania podejrzanych procesów, zmian w rejestrze i mechanizmów autostartu przy użyciu Sysmon
Rozpoznawania aktywności narzędzi takich jak Mimikatz, BloodHound, Nmap czy Nikto
Identyfikowania śladów ataków SQL injection, XSS, directory traversal, web shell i reverse shell
Analizy komunikacji z serwerami C2 i podstawowych symptomów ransomware
Prowadzenia triage incydentu od pierwszego alertu po budowę osi czasu zdarzeń
Weryfikowania reputacji adresów IP, domen i hashy plików z wykorzystaniem VirusTotal i AbuseIPDB
Korzystania z threat intelligence, IoC, a także platform takich jak AlienVault OTX
Mapowania alertów i technik ataków do frameworka MITRE ATT&CK
Dekodowania danych i analizy podejrzanych komend przy użyciu CyberChef
Podstaw izolacji zainfekowanego hosta i tworzenia zrzutu pamięci RAM do analizy
Przygotowywania raportów i pracy według procedur SOC

Spis lekcji

01. Podstawy i architektura 02:46:41

01.01. Wprowadzenie do kursu

00:06:26

01.02. Czym jest EPS i jak sprawdzić, czy serwer działa wydajnie? [1]

00:13:52

01.03. Logi agentowe czy bezagentowe - którą metodę wybrać i w jakiej sytuacji? [2]

00:18:30

01.04. Jak SIEM interpretuje logi (rola dekoderów i reguł)? [3]

00:10:24

01.05. Czym jest KQL, SPL lub EQL? [4]

00:12:40

01.06. Co to jest False Positive i dlaczego to problem dla analityka? [5]

00:05:01

01.07. Dlaczego sama zapora (firewall) to za mało w dzisiejszym SOC? [6]

00:08:08

01.08. Co to jest Data Retention i dlaczego logów nie trzyma się wiecznie? [7]

00:06:26

01.09. Jak działa alerting? [8]

00:10:40

01.10. Jaka jest różnica między SIEM a zwykłym przeglądaniem logów w podglądzie zdarzeń? [9]

OGLĄDAJ » 00:08:46

01.11. Co to jest rootcheck i jak wykryć ukryte pliki w systemie? [10]

00:09:46

01.12. Jak sprawdzić status agentów i skąd dowiedzieć się, że ktoś nie wyłączył monitoringu? [11]

00:07:02

01.13. Czy da się połączyć np. 1000 prób logowania w jeden alert? [12]

00:12:57

01.14. Dlaczego synchronizacja czasu (NTP) jest kluczowa w architekturze SOC/SIEM? [13]

00:06:23

01.15. Jakie są główne różnice pomiędzy SIEM on-prem a SIEM w chmurze? [14]

00:08:05

01.16. Co to jest log raw i dlaczego jest ważny dla sądu? [15]

00:09:34

01.17. Czym jest integralność logów, jak udowodnić, że haker ich nie zmienił? [16]

00:07:00

01.18. Jak SIEM pomaga w zachowaniu zgodności (np. RODO)? [17]

00:04:09

01.19. Podsumowanie

00:00:52

02. Artefakty systemowe i głęboka analityka Windows 02:45:37

02.01. Dlaczego domyślne logi Windows nie wystarczają w analizie incydentów i po co wdraża się Sysmon? [18]

00:09:52

02.02. Event ID 4624 - kto i jak zalogował się do systemu? [19]

00:10:17

02.03. Event ID 4625 - jak rozpoznać, że ktoś zgaduje hasło (Brute Force)? [20]

00:07:31

02.04. Jak wykryć uruchomienie nowego procesu? [21]

00:05:07

02.05. Jak sprawdzić, co dokładnie pobrała przeglądarka? [22]

00:10:00

02.06. Jak w logach wygląda nagłe czyszczenie dzienników zdarzeń? [23]

00:05:05

02.07. Monitorowanie rejestru, jak wykryć zmiany w autostarcie? [24]

00:16:05

02.08. Jak namierzyć proces, który nagle zaczął skanować sieć lokalną? [25]

00:08:06

02.09. Jak za pomocą Sysmon-a wykryć wstrzykiwania kodu (process injection)? [26]

00:18:38

02.10. Co to jest Parent PID Spoofing w logach procesów? [27]

00:04:17

02.11. Jak śledzić zmiany w grupach administratorów i użytkowników? [28]

00:06:58

02.12. Jak rozpoznać aktywność Mimikatz (dostęp do pamięci LSASS)? [29]

00:10:56

02.13. Jak sprawdzić z jakimi domenami łączy się komputer? [30]

00:07:18

02.14. Jak wykryć ukryte udziały sieciowe? [31]

00:05:13

02.15. Jak sprawdzić czy ktoś podpiął podejrzany pendrive (logi USB)? [32]

00:07:24

02.16. Jak zidentyfikować procesy o "dziwnych" nazwach (np. svch0st.exe)? [33]

00:03:42

02.17. W jaki sposób zidentyfikować użycie PowerShell do pobierania plików z sieci? [34]

00:03:12

02.18. Jak w logach sieciowych (np. Sysmon ID 3) rozpoznać tunelowanie DNS lub nietypowy ruch wychodzący? [35]

00:09:00

02.19. Jak wygląda Golden Ticket w logach Kerberos? [36]

00:11:23

02.20. Jak zapytaniem w DQL znaleźć wszystkie logowania użytkownika? [37]

00:04:34

02.21. Podsumowanie

00:00:59

03. Ataki i scenariusze 04:16:24

03.01. Jak zidentyfikować aktywny rekonesans (nmap) w logach sieciowych i dashboardzie SIEM? [38]

00:08:52

03.02. Jak wykryć skaner podatności (np. Nikto) po specyficznych nagłówkach? [39]

00:07:45

03.03. Jak rozpoznać, że ktoś używa skanera portów wewnątrz sieci (pivot)? [40]

00:05:56

03.04. Jakie ślady rekonesansu AD i kolekcji relacji katalogowych może wywołać BloodHound? [41]

00:11:20

03.05. Jak dokonać analizy alertu o nietypowym agencie użytkownika (User-Agent)? [42]

00:08:43

03.06. Jak SIEM koreluje setki nieudanych logowań w jeden incydent (atak Brute Force na SSH i RDP)? [43]

00:07:11

03.07. Jak wygląda Password Spraying (atak na Active Directory)? [44]

00:07:58

03.08. Jak rozpoznać atak typu Credential Stuffing? [45]

00:07:49

03.09. Jak rozpoznać atak typu MFA Push Spam (zmęczenie użytkownika)? [46]

00:07:27

03.10. Jak wygląda Impossible Travel w logach Microsoft 365? [47]

00:08:28

03.11. Jak SIEM widzi atak SQL Injection na stronę WWW? [48]

00:09:04

03.12. Jak analizować logi podczas ataku typu Cross-Site Scripting (XSS)? [49]

00:07:39

03.13. Jak rozpoznać atak typu Directory Traversal? [50]

00:07:24

03.14. Jak rozpoznać aktywność skryptów typu Web Shell? [51]

00:06:49

03.15. Jak wykryć nadmiarowe zapytania do bazy danych (Data Dumping)? [52]

00:09:41

03.16. Jak analizować logi serwera pocztowego podczas ataku phishingowego? [53]

00:08:36

03.17. Co to jest Inbox Rule w Exchange Online i dlaczego atakujący po przejęciu skrzynki pocztowej zakłada regułę ukryj i przekaż? [54]

00:07:49

03.18. Jak wykryć złośliwe oprogramowanie typu Stealer (kradzież sesji przeglądarki)? [55]

00:09:11

03.19. Jak wykryć złośliwe makra w Excelu przez analizę procesów potomnych? [56]

00:11:55

03.20. Jak wykryć atak typu DLL Side-Loading lub DLL Hijacking w logach procesów i Sysmon? [57]

00:16:21

03.21. Jak wykryć narzędzia hakerskie (np. Netcat, Socat)? [58]

00:05:52

03.22. Co widać w SIEM, gdy haker przejmie terminal (Reverse Shell)? [59]

00:06:46

03.23. Jak wykryć komunikację z serwerem C2 (Command & Control)? [60]

00:05:11

03.24. Co widać w logach podczas próby eskalacji uprawnień (Privilege Escalation)? [61]

00:08:54

03.25. Jak SIEM widzi próbę ominięcia UAC w Windows? [62]

00:07:23

03.26. Co się dzieje w logach, gdy haker zrzuci bazę haseł SAM? [63]

00:05:36

03.27. Jak SIEM wykrywa podejrzane użycie narzędzia PSExec lub WMI w środowisku Windows? [64]

00:08:26

03.28. Jak wykryć "nieuczciwego pracownika", który zaczyna pobierać dane do których ma dostęp (UBA)? [65]

00:12:45

03.29. Jak wykryć ransomware po zmianach na plikach, procesach, kopiach shadow i wzorcach operacji I/O? [66]

00:08:46

03.30. Jak analizować alert o masowym usuwaniu plików z serwera (saboatage)? [67]

00:07:38

03.31. Podsumowanie

00:03:09

04. Triage i obsługa incydentów 03:07:15

04.01. Pierwszy krok po alercie - jak nie wpaść w panikę? [68]

00:08:37

04.02. Jaka jest rola SOP (Standard Operating Procedure) w pracy analityka? [69]

OGLĄDAJ » 00:08:03

04.03. Kiedy uznać alert za False Positive, a kiedy za Benign True Positive? [70]

00:06:49

04.04. Co to jest False Negative i dlaczego jest groźniejszy niż False Positive? [71]

00:05:18

04.05. Jak sprawdzić reputację adresu IP w VirusTotal? [72]

00:06:41

04.06. Czym jest AbuseIPDB i jak go użyć do analizy? [73]

00:04:28

04.07. Jak sprawdzić reputację pliku po sumie kontrolnej (Hash)? [74]

00:05:09

04.08. Jak zweryfikować, czy podejrzany plik jest podpisany cyfrowo? [75]

00:05:53

04.09. Jak wykorzystać sandbox do bezpiecznego uruchomienia wirusa? [76]

00:12:47

04.10. Tworzenie osi czasu (Timeline) - co wydarzyło się przed i po alercie? [77]

00:13:00

04.11. Jak przy pomocy EDR i bez logowania, sprawdzić drzewo procesów i połączenia sieciowe stacji? [78]

00:09:26

04.12. Jak sprawdzić, czy atakujący nadal jest w systemie (Live Analysis)? [79]

00:05:53

04.13. Jak odróżnić skrypt admina od skryptu hakera? [80]

00:09:32

04.14. Jak wygląda analiza logów w poszukiwaniu wycieku danych? [81]

00:13:06

04.15. Jak wykorzystać LLM (Large Language Models) do szybkiej interpretacji skryptów? [82]

00:06:15

04.16. Jak odizolować zainfekowany komputer od reszty sieci? [83]

00:04:34

04.17. Jak zrobić zrzut pamięci RAM do dalszej analizy? [84]

00:14:04

04.18. Kiedy należy zmienić hasła użytkownikom po incydencie? [85]

00:05:52

04.19. Kiedy eskalować problem do starszego analityka (L2/L3)? [86]

00:11:14

04.20. Jak stworzyć wyjątek (Whitelisting), żeby SIEM nie sypał błędami? [87]

00:10:58

04.21. Kiedy pozwolić automatowi (SOAR) zamknąć alert, a kiedy niezbędna jest decyzja człowieka? [88]

00:05:46

04.22. Jak dokumentować swoje działania w systemie ticketingowym? [89]

00:05:15

04.23. Jak napisać krótki raport z incydentu dla szefa? [90]

00:07:06

04.24. Podsumowanie

00:01:29

05. Korzystanie z Threat Intelligence i MITRE ATT&CK 01:08:20

05.01. Co to jest TTP (Tactics, Techniques, Procedures)? [91]

00:03:47

05.02. Czym jest MITRE ATT&CK i jak czytać te wszystkie techniki? [92]

00:08:14

05.03. Co to jest IoC (Indicator of Compromise) i skąd je brać? [93]

00:06:40

05.04. Jak korzystać z darmowych feedów Threat Intelligence (np. OTX)? [94]

00:05:58

05.05. Jak powiązać alert w Wazuh z konkretnym punktem w macierzy MITRE? [95]

00:03:57

05.06. Jak używać CyberChef do dekodowania złośliwych komend? [96]

00:05:18

05.07. Jak zarządzać czarnymi listami? [97]

00:04:51

05.08. Jakie są ryzyka automatycznego blokowania? [98]

00:08:11

05.09. Czym różni się Threat Hunting od reaktywnego monitorowania? [99]

00:01:51

05.10. Jakie certyfikaty i ścieżki rozwoju są teraz "gorące" w świecie SOC? [100]

00:14:11

05.11. Podsumowanie

00:00:56

05.12. Zakończenie kursu

00:04:26

Obierz kurs na analizę incydentów

Dziś firmy potrzebują osób, które potrafią analizować alerty, rozpoznawać podejrzane działania i reagować na incydenty, zanim te przerodzą się w realny problem bezpieczeństwa. Właśnie dlatego rola analityka SOC, czyli osoby odpowiedzialnej za monitorowanie bezpieczeństwa i analizę incydentów, stała się mocnym punktem wejścia do branży cybersecurity. To stanowisko uczy myślenia analitycznego, pracy z logami, systemami SIEM i realnymi śladami ataków, które każdego dnia pojawiają się w środowiskach Windows, sieciach firmowych czy systemach pocztowych.

Szkolenie SOC od podstaw. Kurs video. 100 pytań z SIEM, alertów i analizy incydentów będzie dla Ciebie szczególnie wartościowe, jeśli chcesz rozpocząć karierę w cyberbezpieczeństwie, uporządkować wiedzę przed rozmową rekrutacyjną albo rozszerzyć swoje kompetencje o analizę bezpieczeństwa. Zdobędziesz praktyczne podstawy, które pozwolą Ci zrozumieć sposób myślenia analityka SOC i przygotują Cię do pracy z alertami, logami i podstawowym reagowaniem na incydenty. W trakcie 14 godzin poznasz praktyczne scenariusze inspirowane codzienną pracą SOC i zobaczysz, jak pojedyncze logi łączą się w większy obraz ataku.

Po ukończeniu kursu podejdziesz do pracy z alertami w uporządkowany sposób. Sprawdzisz źródło zdarzenia, przeanalizujesz powiązane logi, ocenisz reputację adresów IP i hashy plików, zbudujesz prostą oś czasu incydentu i zdecydujesz, czy alert wymaga eskalacji. Nauczysz się korzystać z zapytań KQL, SPL i EQL, zrozumiesz różnicę między logami agentowymi i bezagentowymi, poznasz podstawy retencji danych i dowiesz się, jak działa korelacja zdarzeń w systemach SIEM. Dowiesz się również, jak wygląda analiza komunikacji C2, a także jakie ślady pozostawia ransomware w logach i systemie operacyjnym. Nauczysz się mapować alerty do frameworka MITRE ATT&CK i korzystać z darmowych źródeł threat intelligence, by wzbogacać analizę incydentów.

Zdobyta wiedza pomoże Ci aplikować na stanowiska takie jak Junior SOC Analyst, SOC Tier 1 Analyst, IT Security Support, pozwoli też lepiej rozumieć pracę zespołów bezpieczeństwa, współpracować z administratorami i skuteczniej analizować problemy związane z phishingiem, malware, przejęciem kont czy podejrzaną aktywnością użytkowników. To również solidny fundament do dalszego rozwoju w kierunku threat huntingu, pracy z EDR/XDR, administracji SIEM, reagowania na incydenty i szeroko rozumianego cyberbezpieczeństwa.

Nie bój się surowego logu. W pozornym szumie danych często ukrywa się ślad: proces, którego nie powinno być, połączenie o trzeciej nad ranem, jedna zmieniona litera w nazwie pliku albo nietypowe logowanie użytkownika. Ten kurs nauczy Cię, jak włączyć w głowie filtr analityka i dostrzec atak, zanim wywoła prawdziwą panikę. W SOC spokojna głowa, procedura i dobre pytania są ważniejsze niż heroiczne akcje.

O autorze kursu video

Adam Józefiok ukończył studia doktoranckie na Politechnice Śląskiej w Gliwicach na Wydziale Automatyki, Elektroniki i Informatyki. Specjalizuje się w tematyce sieci komputerowych (przełączanie, routing, bezpieczeństwo i projektowanie). Jest autorem publikacji polskich oraz zagranicznych z tej dziedziny. Brał udział w konferencjach naukowych (krajowych oraz międzynarodowych) dotyczących sieci komputerowych.

Jest pracownikiem naukowym Katedry Sieci i Systemów Komputerowych Politechniki Śląskiej w Gliwicach. Na co dzień administruje również bezpieczeństwem urządzeń sieciowych, konfiguruje m.in. urządzenia sieciowe (Cisco, HP), utrzymuje sieci WAN. Przez 7 lat kierował komórką realizacji wsparcia usług IT.

Posiada wieloletnie doświadczenie w zakresie pracy jako administrator sieci oraz projektant sieci komputerowych. Przez lata projektował serwerownie oraz tworzył projekty okablowania. Tworzył procedury i dokumentacje projektowe. Na swoim koncie posiada wiele zrealizowanych projektów w zakresie zakupu sprzętu IT wraz z prowadzeniem procedur przetargowych, wdrożeniem, wykonaniem dokumentacji oraz testami.

Posiada certyfikaty: CCNA Security, CCNP Routing and Switching, Cisco CCDP, CCNAV oraz certyfikat instruktorski Cisco CCAI, jak również certyfikaty ITIL i PRINCE2.

Jego pasją jest pisanie książek, praca ze studentami i szeroko rozumiana dydaktyka.