Щит от хакеров. Как L1 SOC защищают инфраструктуру
Дата: 16.11.25 На встрече узнаете: - Почему пентест не ограничивается Red Team? - Чем можно обнаружить атаки? - Разбираем одну из атак на задаче Splunk 2 из TryHackMe вместе Ссылка на задачу TryHackMe: https://tryhackme.com/room/splunk2gcd5 Спикер: Андрей Казарин, член команды ITMOteam, младший специалист L1 SOC Ozon Tech, разработчик заданий Уровень сложности материала: 🔑x4/5 — для изучения материала слушателям рекомендуется иметь базовые навыки эксплуатации уязвимостей или использования инструментов Тайминги: 00:00 Начало 01:59 Red Team vs Blue Team vs Pentest. Почему стоит идти в защиту (SOC) и в чем разница подходов 05:55 Структура SOC: За что отвечают 1, 2 и 3 линии обороны (L1-L3). 07:55 Что такое правила корреляции и отличие «события ИБ» от «инцидента» 11:25 Инструментарий L1 аналитика: SIEM, консольные утилиты и почему новичкам не дают доступ к EDR 20:05 Начало расследования (OSINT + Log Analysis): Поиск IP-адреса сотрудника по имени 27:41 Анализ HTTP-трафика: Как отсеять шум и найти уникальные домены (команда dedup) 33:58 Анализ почты (SMTP/Exchange): Выявление фишинга и социальной инженерии через контекст переписки 44:17 Обнаружение Tor Browser и аномальной сетевой активности 49:19 Этап разведки (Reconnaissance): Детект сканирования уязвимостей по всплескам трафика. 56:30 Веб-атаки: Анализ попыток инъекций (XSS / SQLi) через формы на сайте 01:04:00 Вектор доставки (Delivery): Анализ макросов в PowerPoint (.pptx) как способ запуска пейлоада 01:06:30 Поиск признаков работы шифровальщика (Ransomware) 01:14:53 Работа с хешами, VirusTotal и Hybrid Analysis. Детект Perl-скрипта 01:36:25 Работа с алертами Suricata (IDS/IPS) и анализ SSL-трафика 01:53:50 Закрепление (Persistence): Как найти следы в Планировщике задач (Scheduled Tasks) и реестре. 02:04:20 Q&A. Карьера в SOC: Почему автоматизация не убьет профессию L1 аналитика. Hard Skills. Полезные ресурсы для обучения
Дата: 16.11.25 На встрече узнаете: - Почему пентест не ограничивается Red Team? - Чем можно обнаружить атаки? - Разбираем одну из атак на задаче Splunk 2 из TryHackMe вместе Ссылка на задачу TryHackMe: https://tryhackme.com/room/splunk2gcd5 Спикер: Андрей Казарин, член команды ITMOteam, младший специалист L1 SOC Ozon Tech, разработчик заданий Уровень сложности материала: 🔑x4/5 — для изучения материала слушателям рекомендуется иметь базовые навыки эксплуатации уязвимостей или использования инструментов Тайминги: 00:00 Начало 01:59 Red Team vs Blue Team vs Pentest. Почему стоит идти в защиту (SOC) и в чем разница подходов 05:55 Структура SOC: За что отвечают 1, 2 и 3 линии обороны (L1-L3). 07:55 Что такое правила корреляции и отличие «события ИБ» от «инцидента» 11:25 Инструментарий L1 аналитика: SIEM, консольные утилиты и почему новичкам не дают доступ к EDR 20:05 Начало расследования (OSINT + Log Analysis): Поиск IP-адреса сотрудника по имени 27:41 Анализ HTTP-трафика: Как отсеять шум и найти уникальные домены (команда dedup) 33:58 Анализ почты (SMTP/Exchange): Выявление фишинга и социальной инженерии через контекст переписки 44:17 Обнаружение Tor Browser и аномальной сетевой активности 49:19 Этап разведки (Reconnaissance): Детект сканирования уязвимостей по всплескам трафика. 56:30 Веб-атаки: Анализ попыток инъекций (XSS / SQLi) через формы на сайте 01:04:00 Вектор доставки (Delivery): Анализ макросов в PowerPoint (.pptx) как способ запуска пейлоада 01:06:30 Поиск признаков работы шифровальщика (Ransomware) 01:14:53 Работа с хешами, VirusTotal и Hybrid Analysis. Детект Perl-скрипта 01:36:25 Работа с алертами Suricata (IDS/IPS) и анализ SSL-трафика 01:53:50 Закрепление (Persistence): Как найти следы в Планировщике задач (Scheduled Tasks) и реестре. 02:04:20 Q&A. Карьера в SOC: Почему автоматизация не убьет профессию L1 аналитика. Hard Skills. Полезные ресурсы для обучения