DFIR-201 Informatyka śledcza i reagowanie na incydenty (Digital Forensics & Incident Response)
cyfrowy materiał dowodowy dowód cyfrowy elektroniczne dowody informatyka śledcza raport śledczy ślad cyfrowy
Cel szkolenia
Uzyskanie zaawansowanych kompetencji praktycznych w zakresie integrowania procedur reagowania na incydenty (Incident Response) z technikami cyfrowej informatyki śledczej (Digital Forensics), w tym prawidłowego zabezpieczania dowodów elektronicznych oraz prowadzenia analizy przyczyn źródłowych na potrzeby mitygacji zagrożeń i postępowań prawno-regulacyjnych (RODO/NIS2).
Adresaci szkolenia
Członkowie zespołów reagowania na incydenty, analitycy SOC wyższego szczebla, administratorzy systemów i sieci pełniący rolę First Responders, a także specjaliści ds. bezpieczeństwa i audytorzy zaangażowani w wyjaśnianie naruszeń danych w organizacjach komercyjnych.
Program
- Metodyka reagowania na incydenty: ramy NIST i SANS, triage incydentu, organizacja pracy kryzysowej.
- Rola First Respondera i aspekty prawne: zasada Chain of Custody, błędy niszczące materiał dowodowy, wymogi dla postępowań i ubezpieczycieli.
- Zabezpieczanie dowodów cyfrowych: order of volatility, wykonywanie zrzutów pamięci RAM i kopii binarnych dysków.
- Informatyka śledcza systemów Windows: artefakty NTFS, Prefetch, Amcache, Shimcache, analiza logów EVTX i rejestru Windows.
- Analiza pamięci RAM i malware triage: Volatility, identyfikacja ukrytych procesów, process injection, ekstrakcja IoC.
- Śledztwa sieciowe i odbudowa: analiza PCAP i NetFlow, containment, eradication, recovery.
- Raportowanie i lessons learned: root cause analysis, raport DFIR oraz rekomendacje naprawcze i inwestycyjne.
Efekty uczenia się i kluczowe kompetencje
Po ukończeniu szkolenia uczestnik:
- rozumie i wdraża pełny cykl życia incydentu według NIST SP 800-61 / SANS,
- umiejętnie zabezpiecza materiał dowodowy,
- potrafi przeprowadzić analizę artefaktów Windows i zrzutów pamięci RAM,
- potrafi zidentyfikować ślady kompromitacji i złośliwe oprogramowanie w systemie i ruchu sieciowym,
- potrafi sporządzać raporty poincydentalne spełniające wymogi prawne.
Wymagania wstępne
Bardzo dobra znajomość architektury systemów operacyjnych (szczególnie Windows) oraz sieci komputerowych. Podstawowe doświadczenie w analizie logów i pracy w linii poleceń. Znajomość krajobrazu zagrożeń i wektorów ataków..
Warunki ukończenia szkolenia
- obecność i aktywny udział w zajęciach,
- uzyskanie pozytywnego wyniku z testu końcowego sprawdzającego rozumienie zagadnień objętych programem szkolenia.
Jak się zapisać?
- Aby zapisać się na szkolenie musisz posiadać konto w naszym systemie. Żeby je założyć kliknij tutaj. Jeżeli już posiadasz konto możesz pominąć ten krok.
- Po utworzeniu konta zapisz się na szkolenie. O przyjęciu decyduje kolejność przesłanych zgłoszeń oraz dostępność miejsc.
- Z naszego systemu otrzymasz automatyczne potwierdzenie Twojego zgłoszenia.
- Prześlij na adres e-mailowy szkolenia@informatyka.agh.edu.pl skan wypełnionego i podpisanego formularza zgłoszeniowego.
- Poczekaj na potwierdzenie uruchomienia szkolenia, aby wnieść opłatę za szkolenie (dane do przelewu oraz termin płatności zostaną podane w e-mailu potwierdzającym uruchomienie szkolenia).
- Prześlij na adres e-mailowy szkolenia@informatyka.agh.edu.pl potwierdzenie dokonania wpłaty.