Расследование компьютерных инцидентов. От теории к практике
Хватит перезагружать серверы.
Научитесь находить улики.
Научитесь находить улики.
Март-Июнь | 2026
72 академических часа
Online
Современная кибератака — это не всегда вирус, который всё ломает. Часто злоумышленник тихо сидит в системе месяцами, изучает вашу инфраструктуру и ждет своего часа. Стандартные методы защиты здесь бессильны.
Этот курс для тех, кто хочет перейти от пассивного наблюдения к активному расследованию. Вы научитесь думать как хакер, чтобы находить его следы там, где их никто не видит: в оперативной памяти, в глубинах реестра, в сетевых аномалиях.
Результат: вы не просто отражаете атаку — вы проводите полноценное криминалистическое расследование и гарантируете, что это не повторится.
Результат: вы не просто отражаете атаку — вы проводите полноценное криминалистическое расследование и гарантируете, что это не повторится.
Кому этот курс даст максимум пользы:
Вы научитесь не просто фиксировать срабатывания SIEM, а проводить глубокий анализ инцидентов и отличать ложное срабатывание от реальной угрозы.
Если вы отвечаете за серверы и рабочие станции, вы узнаете, как правильно собрать цифровые доказательства до перезагрузки системы и минимизировать ущерб от атаки.
Вы получите структурированную методологию расследования и освоите современные инструменты, которые используют профессионалы по всему миру.
Программа курса: от первого подозрения до финального отчета
Модуль 1:
Современные угрозы и логика атак
(Недели 1-2)
-
Урок 1. Реагирование на компьютерные инциденты
Киберугрозы становятся сложнее, атаки — масштабнее. Разбираемся, почему старые методы не работают и что нужно знать современному специалисту. -
Урок 2. Современный злоумышленник и его TTP
Хакер — это не абстрактный злодей. Изучаем его мотивы, инструменты и тактики.
- Фреймворк MITRE ATT&CK — ваша настольная книга
- Модели атак: Cyber Kill Chain и Unified Cyber Kill Chain -
Урок 3. Подготовка и обнаружение
Как подготовить инфраструктуру, чтобы инцидент не застал врасплох? Настраиваем процессы раннего обнаружения.
Модуль 2:
Сбор и первичный анализ доказательств
(Недели 3-5)
-
Урок 4. Сбор материалов
В современном расследовании побеждает тот, кто умеет работать с «живыми» системами.
- Live-анализ против классического Post-Mortem
- Создание образов дисков, слепки трафика, журналы событий
- Главное: извлечение артефактов оперативной памяти -
Урок 5. Анализ инцидентов (IOC и сеть)
Переходим от сбора к поиску улик.
- Индикаторы компрометации (**IOC**) — что искать?
- Автоматизация поиска: сканеры IOC и создание правил YARA
- Сетевые артефакты: как увидеть аномалии в трафике
Модуль 3:
Глубокий криминалистический анализ
(Недели 6-7)
-
Урок 6. Анализ (Память и Система)
Самые опасные угрозы живут в оперативной памяти и не оставляют следов на диске. Учимся их ловить.
- Анализ памяти Windows и Linux: вредоносные процессы, руткиты, скрытые соединения
- Файловая система: где искать следы взлома -
Урок 7. Анализ (Реестр, Журналы, Вредоносное ПО)
- Реестр Windows: ключи автозагрузки, точки персистентности
- Журналы событий и данные мониторинга
- Базовый анализ вредоносного ПО — понимаем логику атаки
Модуль 4:
Завершение расследования и восстановление
(Недели 8-10)
-
Урок 8. Сдерживание, восстановление и деятельность после инцидента
- Сдерживание: как локализовать атаку и остановить распространение
- Восстановление: возвращаем системы к жизни
- Post-incident: анализ причин, отчетность, предотвращение повторных атак -
Урок 7. Анализ (Реестр, Журналы, Вредоносное ПО)
- Реестр Windows: ключи автозагрузки, точки персистентности
- Журналы событий и данные мониторинга
- Базовый анализ вредоносного ПО — понимаем логику атаки
Итоговая аттестация
(Недели 11-12)
-
Урок 9. Экзамен. Теория
Проверка знаний по методологии, инструментам и процессам реагирования. -
Урок 10. Экзамен. Практика
*Легенда:* «Молодой специалист решил поучить Python, но что-то пошло не так...»
Вы получаете образ скомпрометированной системы. Ваша задача — провести полное расследование: от поиска артефактов в памяти до финального отчета. Это проверка всех навыков, которые вы освоили на курсе.
Чему вы научитесь:
Понимать тактики, техники и процедуры (TTP) хакеров с помощью MITRE ATT&CK
Проводить Live-анализ оперативной памяти Windows и Linux, извлекать недоступные иначе артефакты
Использовать IOC и YARA для автоматизированного поиска вредоносной активности
Диски, реестр, журналы событий, сетевой трафик — ничто не укроется
Сдерживать атаки, восстанавливать системы и писать отчеты, которые ценятся руководством и заказчиками
Почему выбирают этот курс:
Мы учим сочетать классический Post-Mortem анализ с Live-анализом. Это позволяет находить угрозы, которые невозможно обнаружить после перезагрузки.
72 часа — это не скучные лекции. Это реальные кейсы, домашние задания и итоговая работа, максимально приближенная к боевым условиям.
Курс ведут специалисты, которые ежедневно сталкиваются с расследованиями реальных инцидентов.
После успешного прохождения вы получаете удостоверение о повышении квалификации установленного образца.
Итоговый документ: Удостоверение о повышении квалификации
Начните расследование сегодня
Интенсивность атак только растет. Каждый день промедления — это риск, который может стоить компании данных, репутации и денег.
Запишитесь на курс и станьте специалистом, который умеет не просто нажимать кнопки, а проводить профессиональные расследования.
Остались вопросы? Свяжитесь с нами — мы подробно расскажем о программе и поможем выбрать подходящий формат обучения.
Начните расследование сегодня
Интенсивность атак только растет. Каждый день промедления — это риск, который может стоить компании данных, репутации и денег.
Запишитесь на курс и станьте специалистом, который умеет не просто нажимать кнопки, а проводить профессиональные расследования.
Остались вопросы? Свяжитесь с нами — мы подробно расскажем о программе и поможем выбрать подходящий формат обучения.
Контакты координатора по курсам
Телефон: +7 989 092 6184
Email: edu@csystema.ru
101000, г. Москва, вн.тер.г. Муниципальный Округ Басманный, пер Армянский, д. 9, стр. 1, офис 601
Email: edu@csystema.ru
101000, г. Москва, вн.тер.г. Муниципальный Округ Басманный, пер Армянский, д. 9, стр. 1, офис 601