دوره SANS SEC 503:Intrusion Detection In-Depth
دوره SANS SEC 503: Intrusion Detection In-Depth یک برنامه آموزشی تخصصی و بسیار عملی است که بر تحلیل عمیق ترافیک شبکه با هدف شناسایی و درک نفوذها و فعالیتهای مخرب تمرکز دارد. شرکتکنندگان در این دوره یاد میگیرند چگونه با استفاده حرفهای از ابزارهای کلیدی مانند Wireshark، Snort و Zeek، بستههای شبکه و پروتکلها را در سطح پایینی بررسی کرده و الگوهای حملات را تشخیص دهند. گذراندن این دوره مهارتهای کاربردی ضروری برای تحلیلگران امنیتی و تیمهای پاسخ به حوادث را فراهم میکند، توانایی آنها را در کشف تهدیدات پنهان افزایش داده و آنها را برای کسب گواهینامه معتبر GCIA آماده میسازد.
پیشنهادی
پیشنهادی
| مدت دوره | 120 ساعت |
|---|---|
| پیش نیاز | SANS SEC 401 |
پیشنهادی
پیشنهادی
| مدت دوره | 120 ساعت |
|---|---|
| پیش نیاز | SANS SEC 401 |
محتوای دوره SANS SEC 503
- عنوان کامل: Intrusion Detection In-Depth (تشخیص نفوذ به صورت عمیق)
- هدف اصلی: آموزش عمیق و عملی تحلیل بستههای شبکه (Packet Analysis)، درک کامل پروتکلهای شبکه (TCP/IP و لایههای بالاتر) و استفاده از ابزارها و تکنیکها برای شناسایی فعالیتهای مخرب و نفوذ در شبکه.
- مباحث کلیدی:
- تحلیل پروتکلهای شبکه: بررسی عمیق پروتکلهای TCP, UDP, ICMP, DNS, HTTP, SMTP, SMB و … و نحوه استفاده از آنها در حملات.
- تحلیل بستههای شبکه (Packet Analysis): استفاده حرفهای از ابزارهایی مانند Wireshark و
tcpdumpبرای بررسی و تحلیل ترافیک شبکه در سطح بایت. - سیستمهای تشخیص نفوذ (IDS): کار با IDSهای مبتنی بر شبکه مانند Snort و Zeek (که قبلاً Bro نام داشت)، نوشتن قوانین (Rules) و درک خروجی آنها.
- مانیتورینگ امنیت شبکه (Network Security Monitoring – NSM): اصول و استراتژیهای مانیتورینگ مستمر شبکه برای شناسایی تهدیدات.
- تحلیل لاگها: ارتباط دادن اطلاعات به دست آمده از تحلیل ترافیک با لاگهای سیستمها و تجهیزات امنیتی دیگر.
- مقدمات فارنزیک شبکه (Network Forensics): جمعآوری و تحلیل شواهد دیجیتال از ترافیک شبکه پس از وقوع یک حادثه امنیتی.
- رویکرد آموزشی: این دوره بسیار عملی (Hands-on) است و شامل تعداد زیادی تمرین آزمایشگاهی میشود که شرکتکنندگان مهارتهای آموختهشده را مستقیماً روی ترافیک واقعی یا شبیهسازیشده تمرین میکنند.
سرفصلهای دوره
Network Monitoring and Analysis: Part I
Concepts of TCP/IP
- Why is it necessary to understand packet headers and data?
- The TCP/IP communications model
- Data encapsulation/de-encapsulation
- Bits, bytes, binary, and hex
Introduction to Wireshark
- Navigating around Wireshark
- Wireshark profiles
- Examination of Wireshark statistics options
- Stream reassembly
- Finding content in packets
Network Access/Link Layer: Layer 2
- Introduction to the link layer
- Addressing resolution protocol
- Layer 2 attacks and defenses
IP Layer: Layer 3
- IPv4
- Examination of fields in theory and practice
- Checksums and their importance, especially for network monitoring and evasion
- Fragmentation: IP header fields involved in fragmentation, composition of the fragments, modern fragmentation attacks
UNIX Command Line Processing
- Processing packets efficiently
- Parsing and aggregating data to answer questions and research a network
- Using regular expressions for faster analysis
Network Monitoring and Analysis: Part II
Wireshark Display Filters
- Examination of some of the many ways that Wireshark facilitates creating display filters
- Composition of display filters
Writing BPF Filters
- The ubiquity of BPF and utility of filters
- Format of BPF filters
- Use of bit masking
TCP
- Examination of fields in theory and practice
- Packet dissection
- Checksums
- Normal and abnormal TCP stimulus and response
- Importance of TCP reassembly for IDS/IPS
UDP
- Examination of fields in theory and practice
- UDP stimulus and response
ICMP
- Examination of fields in theory and practice
- When ICMP messages should not be sent
- Use in mapping and reconnaissance
- Normal ICMP
- Malicious ICMP
IP6
- Fundamentals
- Improvements over IP6
- Multicast protocols and how they are leveraged by IP6
- IP6 threats
Real-world application: Researching a network
- Who are the top talkers?
- What are people connecting to?
- What services are running on our network?
- What kind of east-west traffic is present?
Signature-Based Threat Detection and Response
Advanced Wireshark
- Exporting web and other supported objects
- Extracting arbitrary application content
- Wireshark investigation of an incident
- Practical Wireshark uses for analyzing SMB protocol activity
- Tshark
Introduction to Snort/Suricata
- Configuration of the tools and basic logging
- Writing simple rules
- Using common options
Effective Snort/Suricata
- More advanced content on writing truly efficient rules for very large networks
- Understanding how to write flexible rules that are not easily bypassed or evaded
- Snort/Suricata “Choose Your Own Adventure ” approach to all hands-on activities
- Progressive examination of an evolving exploit, incrementally improving a rule to detect all forms of the attack
- Application of Snort/Suricata to application layer protocols
DNS
- DNS architecture and function
- DNSSEC
- Modern advances in DNS, such as EDNS (Extended DNS)
- Malicious DNS, including cache poisoning
- Creating rules to identify DNS threat activities
Microsoft Protocols
- SMB/CIFS
- Detection challenges
- Practical Wireshark application
Modern HTTP
- Protocol format
- Why and how this protocol is evolving
- Detection challenges
- Changes with HTTP2 and HTTP3
How to Research a Protocol
- Using QUIC as a case study
- Comparison of GQUIC vs. IETF QUIC
Real-world Application: Identifying Traffic of Interest
- Finding anomalous application data within large packet repositories
- Extraction of relevant records
- Application research and analysis
Building Zero-Day Threat Detection Systems
Network Architecture
- Instrumenting the network for traffic collection
- Network monitoring and threat detection deployment strategies
- Hardware to capture traffic
Introduction to Network Monitoring at Scale
- Function of a network monitoring tools
- The analyst’s role in detection
- Analysis flow process
Zeek
- Introduction to Zeek
- Zeek operational modes
- Zeek output logs and how to use them
- Practical threat analysis and threat modeling
- Zeek scripting
- Using Zeek to monitor and correlate related behaviors
Scapy
- Packet crafting and analysis using Scapy
- Writing packets to the network or a pcap file
- Reading packets from the network or from a pcap file
- Practical Scapy uses for network analysis and network defenders
IDS/IPS Evasion Theory
- Theory and implications of evasions at different protocol layers
- Sampling of evasions
- Necessity for target-based detection
- Zero-day monitoring evasions
Large-Scale Threat Detection, Forensics, and Analytics
Using Network Flow Records
- NetFlow and IPFIX metadata analysis
- Using SiLK to find events of interest
- Identification of lateral movement via NetFlow data
- Building custom NetFlow queries
Threat Hunting and Visualization
- Various approaches to performing network threat hunting at enterprise scale in networks
- Exercises involving approaches to visualizing network behaviors to identify anomalies
- Applications of data science to streamline security operations and perform threat hunting
- Experimenting with an AI-based system to identify network protocol anomalies on a defended network
Introduction to Network Forensic Analysis
- Theory of network forensics analysis
- Phases of exploitation
- Data-driven analysis versus alert-driven analysis
- Hypothesis-driven visualization
Advanced Network Monitoring and Threat Detection Capstone
این دوره در نهایت با یک پروژه عملی مبتنی بر سرور در زمینه نظارت بر شبکه و شناسایی تهدیدات به اوج خود میرسد که جذاب و چالشبرانگیز است. دانشجویان به صورت انفرادی برای پاسخ دادن به سؤالات متعددی که نیازمند استفاده از ابزارها و مباحث تئوری پوشش داده شده در طول دوره است، به رقابت میپردازند.
مدرک معتبر
شرکت ارتباط افزار افق دارای مجوزهای معتبر و رسمی از سازمانهای ذیربط بوده و مدارک پایان دوره ارائه شده توسط این شرکت کاملا معتبر میباشند.
مزایای گذراندن دوره SANS SEC503
- یادگیری عمیق و بنیادی: برخلاف بسیاری از دورهها که سطحی به مباحث میپردازند، SEC503 به شما درک عمیقی از نحوه کارکرد شبکهها و پروتکلها میدهد که اساس تشخیص نفوذ است.
- تسلط بر ابزارهای کلیدی: شما مهارت عملی و پیشرفتهای در استفاده از ابزارهای استاندارد صنعتی مانند Wireshark, tcpdump, Snort و Zeek کسب خواهید کرد که در اکثر مراکز عملیات امنیت (SOC) استفاده میشوند.
- توانایی شناسایی حملات پنهان: با تحلیل دقیق ترافیک، قادر خواهید بود حملات پیچیده، ترافیک رمزنگاریشده مشکوک، و فعالیتهای مخربی که توسط ابزارهای امنیتی سطحیتر شناسایی نمیشوند را کشف کنید.
- آمادگی برای گواهینامه معتبر GCIA: دریافت گواهینامه GCIA اعتبار حرفهای شما را به شدت افزایش میدهد و نشاندهنده تخصص شما در این حوزه است.
- ارتقای شغلی: دانش و مهارتهای کسبشده در این دوره، همراه با گواهینامه GCIA، میتواند منجر به فرصتهای شغلی بهتر در نقشهایی مانند تحلیلگر SOC (سطح 2 و 3)، تحلیلگر نفوذ، متخصص پاسخگویی به حوادث و مهندس امنیت شبکه شود.
- افزایش کارایی تیم امنیتی: فردی که این دوره را گذرانده باشد، میتواند به طور قابل توجهی به بهبود قابلیتهای تشخیص و تحلیل تهدیدات در تیم امنیتی سازمان کمک کند.
- درک عملی تهدیدات: به جای صرفاً دانستن نام حملات، یاد میگیرید که این حملات در سطح شبکه چگونه به نظر میرسند و چگونه میتوان آنها را شناسایی کرد.
این دوره برای چه کسانی مناسب است؟
این دوره برای افرادی مناسب است که در زمینه امنیت شبکه فعالیت میکنند و نیاز به درک عمیقتری از ترافیک شبکه و روشهای تشخیص نفوذ دارند، از جمله:
- تحلیلگران مرکز عملیات امنیت (SOC Analysts)
- متخصصان پاسخگویی به حوادث (Incident Responders)
- تحلیلگران نفوذ (Intrusion Analysts)
- مهندسان امنیت شبکه
- مدیران شبکه با مسئولیتهای امنیتی
- افرادی که میخواهند گواهینامه GCIA را دریافت کنند.
دورههای مرتبط
محبوب
محبوب
این دوره برای مدیران سیستم ویندوز، مهندسان و تحلیلگران امنیت، متخصصان اکتیو دایرکتوری، اعضای تیم آبی (Blue Team)، شکارچیان تهدید و هر فردی که مسئولیت حفاظت از سیستمها و زیرساختهای مبتنی بر ویندوز را بر عهده دارد، بسیار مناسب
محبوب
محبوب
دوره آموزش +Security یکی از معتبرترین دورههای حوزه امنیت سایبری است که به شما کمک میکند تا دانش و مهارتهای لازم برای ورود به این حوزه جذاب و پرتقاضا را به دست آورید. این دوره برای کسانی طراحی شده است
پیشنهادی
پیشنهادی
دوره SANS SEC401 یک سرمایهگذاری ارزشمند برای هر فردی است که به دنبال ایجاد یا تقویت دانش و مهارتهای بنیادین خود در زمینه امنیت سایبری است. این دوره با ترکیب دانش تئوری عمیق و تمرینهای عملی، شما را برای مقابله
نقد و بررسیها
هنوز بررسیای ثبت نشده است.