全部课程
计算机科学

SOC运营、安全监控与事件响应

甄选并验证:Aarav Deshmukh, Cybersecurity Engineer, Honeywell
学习时长:约 11 小时
授课语言English · 简体中文 · Español
US$22.00永久访问
结业证书可验证 · 可分享
预览

凌晨两点,队列里有四十条未读告警。其中一条是真实的入侵,另外三十九条是噪音。你该先打开哪一条?你怎么知道? 这个课程训练你回答的正是这个问题——而不是死记硬背攻击列表。你学会一个可重复的循环,并把它应用到面前的一切:阅读告警并判断它是真阳性、假阳性还是良性真阳性;丰富信息直到画面清晰;在真正包含答案的遥测数据中展开调查——端点和EDR、Windows日志和Sysmon、网络和DNS、身份和云;构建时间线、划定爆炸半径,然后按正确顺序响应,因为先隔离错误的主机会破坏证据并惊动攻击者。 我们处理你将真正看到的告警:一封钓鱼邮件演变成账户接管,金融终端上Word中启动的编码PowerShell,横向移动到文件服务器,隐藏在DNS流量中的信标通信。针对每种情况,你练习 pivots、判定和第一步响应动作——然后如何撰写报告以便任何人可以跟进,以及如何在上报时提供足够的上下文,让下一级不必从头开始。 实际分析师使用的框架也在这里——网络杀伤链、MITRE ATT&CK、钻石模型、痛苦金字塔和SANS事件响应生命周期——作为视角而非琐事来教授。而且本课程诚实地讲述了大多数培训跳过的东西:告警疲劳是真实的,无指责复盘是团队改进的方式,漏掉的告警是需要弥补的缺口,而不是用来责备的人。 如果你目标是SOC Tier 1席位,或者正从服务台或IT岗位上升,这就是你入职前演练过的轮班。 课程教授(概念,供上下文):SOC职责与分析师循环、SOC角色、层级与上报路径、对手剧本:入侵如何展开、分析师框架概览、事件、日志与告警:监控词汇、端点遥测与EDR、Windows事件日志与Sysmon、网络遥测:防火墙、代理、DNS与流、身份与认证日志、云与SaaS审计日志、日志收集、标准化与时间、SIEM:集中化与搜索遥测、检测如何工作:签名、关联与行为、检测用例与ATT&CK覆盖映射、威胁情报与入侵指标、痛苦金字塔:为何某些指标更重要、分类方法:从队列到判定或上报、阅读告警:解剖与首要问题、丰富化:为告警添加上下文、真阳性、假阳性与良性真阳性、严重性、优先级与分类决策、告警疲劳与可持续处理队列、调查方法:假设、Pivots与时间线、事件定界:爆炸半径与五W、调查钓鱼与可疑邮件、调查端点恶意软件与EDR检测、调查可疑认证与账户入侵、调查横向移动与权限提升、调查命令控制与数据窃取、钻石模型:结构化你的发现、事件响应生命周期、声明与分类事件、隔离:在不破坏证据的情况下止血、根除、恢复与验证干净、证据处理与监管链、文档化事件:案例笔记、工单与时间线、上报、交接与压力下沟通、剧本、操作手册与SOAR自动化、事后分析与SOC指标、检测调优:在不盲目情况下消除误报、检测工程与威胁狩猎、分析师决策剧本:完整轮班从头到尾

课程目录

关于课程作者

Aarav Deshmukh
Aarav Deshmukh
Cybersecurity Engineer, Honeywell

Aarav Deshmukh is the person organizations call when the dashboard turns red—and, increasingly, before it ever does. Across financial services, healthcare, and cloud software, he has progressed from investigating alerts in security operations centers to designing defenses for entire technology environments. Her experience spans threat hunting, penetration testing, digital forensics, malware analysis, identity and access management, cloud architecture, and secure software development, complemented by responsibility for audits, incident exercises, and executive breach briefings. Aarav has rebuilt detection programs, embedded security reviews into engineering pipelines, and converted complex regulatory requirements into controls that technical teams can realistically maintain. He judges a security program not by the number of tools it owns, but by how quickly it can recognize an attack, contain the damage, and continue operating.

评价 (1)

5 / 5
  • glowing_beetle

    很实用,推荐!