Курс Certified SOC Analyst

Certified SOC Analyst (CSA) - це базовий, але потужний курс, розроблений для формування фундаментальних знань і практичних навичок роботи в Security Operations Center (SOC). Програма готує аналітиків для моніторингу безпеки, аналізу загроз та оперативного реагування на інциденти, забезпечуючи захист сучасних організацій від кіберзагроз.

Програма курсу

Module 01. Security operations and management

Learn how a SOC enhances an organization's security management to maintain a strong security posture, focusing on the critical roles of people, technology, and processes in its operations.

Key topics covered:

• SOC
• SOC capabilities
• SOC operations
• SOC workflow
• components of SOC
• SOC models
• SOC maturity models
• SOC generations
• SOC KPIs and metrics
• SOC challenges

Module 02. Understanding cyber threats, IoCs, and attack methodology

Learn various cyberattacks, their IoCs, and the attack tactics, techniques, and procedures (TTPs) cybercriminals use.

Hands-on Labs:

• Perform SQL injection attack, cross-site scripting (XSS) attack, network scanning attack, DoS attack, and brute force attack to understand their TTPs and IoCs
• Detect and analyze IoCs using Wireshark

Key topics covered:

• cyber threats
• TTPs
• reconnaissance attacks
• man-in-the-middle attacks
• password attack techniques
• malware attacks
• advanced persistent threat lifecycle
• host-based DoS attacks
• ransomware attacks
• SQL injection attacks
• XSS attacks
• cross-site request forgery (CSRF) attack
• session attacks
• social engineering attacks
• email attacks
• insider attack
• IoCs
• attacker's hacking methodology
• MITRE D3FEND framework
• diamond model of intrusion analysis

Module 03. Log management

Learn log management in SIEM, including how logs are generated, stored, centrally collected, normalized, and correlated across systems.

Hands-on Labs:

• Configure, monitor, and analyze various logs
• Collect logs from different devices into a centralized location using Splunk

Key topics covered:

• incident
• event
• log
• log sources
• log format
• local logging
• Windows event log
• Linux logs
• Mac logs
• firewall logs
• iptables
• router logs
• IIS logs
• Apache logs
• database logs
• centralized logging
• log collection
• log transmission
• log storage
• AI-powered script for log storage
• log normalization
• log parsing
• log correlation
• log analysis
• alerting and reporting

Module 04. Incident detection and triage

Learn SIEM fundamentals, including its capabilities, deployment strategies, use case development, and how it helps SOC analysts detect anomalies, triage alerts, and report incidents.

Hands-on Labs:

• Develop Splunk use cases to detect and generate alerts for brute-force attempts, ransomware attacks, SQL injection attempts, XSS attempts, broken access control attempts, application crashes using remote code execution, scanning attempts, monitoring insecure ports and services, DoS attacks, monitoring Windows audit log tampering, and malicious PowerShell script execution
• Enhance alert triage using the SIGMA rules for Splunk queries
• Create dashboards in Splunk
• Create ELK use cases for monitoring trusted binaries connecting to the internet, credential dumping using Mimikatz, and monitoring malware activity in the system
• Create dashboards in ELK
• Detect brute-force attack patterns using correlation rules in ManageEngine Log 360

Key topics covered:

• SIEM
• SIEM architecture and its components
• AI-enabled SIEM
• types of SIEM solutions
• SIEM deployment
• SIEM use cases
• SIEM deployment architecture
• SIEM use case lifecycle
• application-level incident detection SIEM use cases
• insider incident detection SIEM use cases
• examples of network level incident detection SIEM use cases
• examples of compliance use cases
• SIEM rules generation with AI
• alert triage
• Splunk AI
• Elasticsearch AI
• alert triage with AI
• dashboards in SOC
• SOC reports

Module 05. Proactive threat detection

Learn the importance of threat intelligence and threat hunting for SOC analysts, and how their integration with SIEM helps reduce false positives and enables faster, more accurate alert triage.

Hands-on Labs:

• Integrate IoCs into the ELK stack
• Integrate OTX threat data into OSSIM
• Detect incidents in Windows Server using YARA
• Conduct threat hunting using Window PowerShell scripts, Hunt Manager in Velociraptor, Log360 UEBA, and Sophos Central

Key topics covered:

• cyber threat intelligence (CTI)
• threat intelligence lifecycle
• types of threat intelligence
• threat intelligence strategy
• threat intelligence sources
• threat intelligence platform (TIP)
• threat intelligence-driven SOC
• threat intelligence use cases for enhanced incident response
• enhanced threat detection with AI
• threat hunting
• threat hunting process
• threat hunting frameworks
• threat hunting with PowerShell script
• PowerShell AI module
• threat hunting with AI
• threat hunting with YARA
• threat hunting tools

Module 06. Incident response

Learn the stages of incident response and how the IRT collaborates with SOC to handle and respond to escalated incidents.

Hands-on Labs:

• Generate tickets for incidents
• Contain data loss incidents
• Eradicate SQL injection and XSS incidents
• Perform recovery from data loss incidents
• Create incident reports using OSSIM
• Perform automated threat detection and response using Wazuh
• Detect threats using Sophos Central XDR
• Integrate Sophos Central XDR with Splunk

Key topics covered:

• incident response (IR)
• IRT
• SOC and IRT collaboration
• IR process
• ticketing system
• incident triage
• notification
• containment
• eradication
• recovery
• network security incident response
• application security incident response
• email security incident response
• insider threats and incident response
• malware threats and incident response
• SOC playbook
• endpoint detection and response (EDR)
• extended detection and response (XDR)
• SOAR
• SOAR playbook

Module 07. Forensic investigation and malware analysis

Learn the importance of forensic investigation and malware analysis in SOC operations to understand attack methods, identify IoCs, and enhance future defenses.

Hands-on Labs:

• Perform forensic investigation of application security incidents such as SQL injection attacks
• Perform forensic investigation of a compromised system incident using Velociraptor
• Analyze RAM for suspicious activities using Redline
• Perform static analysis on a suspicious file using PeStudio
• Examine a suspicious file using VirusTotal
• Perform dynamic malware analysis in Windows using Process Hacker

Key topics covered:

• forensic investigation
• forensic investigation methodology
• forensic investigation process
• forensic investigation of network security incidents
• forensic investigation of application security incidents
• forensic investigation of email security incidents
• forensic investigation of insider incidents
• malware analysis
• types of malware analysis
• malware analysis tools
• static malware analysis
• dynamic malware analysis

Module 08. SOC for cloud environments

Learn the SOC processes in cloud environments, covering monitoring, incident detection, automated response, and security in AWS, Azure, and GCP using cloud-native tools.

Hands-on Labs: Implement Microsoft Sentinel in Azure.

Key topics covered:

• cloud SOC
• Azure SOC architecture
• Microsoft Sentinel
• AWS SOC architecture
• AWS Security Hub
• centralized logging with OpenSearch
• Google Cloud Platform (GCP) security operation center
• security command center
• Chronicle

Вимоги до рівня знань студента

• Базове розуміння комп'ютерних мереж, операційних систем та концепцій кібербезпеки
• Знайомство з функціями центру операцій безпеки (SOC) та основами реагування на інциденти
• Вміння користуватися базовими мережевими та безпековими інструментами (наприклад, ping, traceroute, nslookup, Wireshark)
• Розуміння концепцій управління журналами, включаючи збір, нормалізацію та аналіз
• Знайомство з платформами SIEM (наприклад, Splunk, QRadar, ArcSight, ELK) та їхньою роллю в операціях SOC
• Впевнене володіння середовищами Windows та Linux (macOS буде перевагою)
• Здатний встановлювати та запускати утиліти командного рядка для моніторингу та усунення несправностей
• Розуміння файлових систем, дозволів користувачів та журналів системного аудиту

Особливості курсу

• Офіційні навчальні матеріали від EC-Council: електронний доступ до матеріалів курсу (доступ протягом 12 місяців), включаючи теоретичний контент, інструкції та кейси
• Доступ до Cyber Range: інтерактивна платформа лабораторних робіт для практичного відпрацювання сценаріїв виявлення та реагування на інциденти (доступ протягом 6 місяців)
• Сертифікат про проходження курсу від EC-Council: після успішного завершення навчання ви отримаєте офіційний сертифікат про проходження курсу
• Ваучер для складання сертифікаційного іспиту CSA: дійсний протягом 12 місяців з моменту отримання
• Міжнародний сертифікат CSA від EC-Council: після успішного складання сертифікаційного іспиту ви отримаєте офіційний сертифікат, який підтверджує ваші компетенції у сфері роботи SOC-аналітика