Безопасность и аудит хоста

Безопасность и аудит на уровне хоста

Изучите основы обеспечения безопасности и аудита в Linux, сосредоточившись на следах, которые злоумышленники оставляют непосредственно в системе. Сетевой трафик может лишь указать на факт инцидента, но артефакты на хосте позволяют понять, что именно изменилось, кто получил доступ и как развивалась атака. Этот курс научит вас использовать мониторинг целостности файлов, auditd и анализ системных журналов для обнаружения несанкционированных изменений, расследования подозрительной активности и укрепления защиты хостов Linux.

Почему это важно

Злоумышленники редко оставляют систему без изменений. Они модифицируют файлы, проходят аутентификацию в службах, повышают привилегии и взаимодействуют с критически важными директориями. Если вы умеете отслеживать эти действия на уровне хоста, вы сможете обнаружить активность, которая остается незаметной для инструментов, работающих только с сетью.

Этот курс предназначен для специалистов по защите, которым необходима практическая видимость процессов в Linux. Вы научитесь создавать базовые показатели доверенных файлов, настраивать правила аудита низкого уровня, анализировать рабочие журналы и использовать эти данные в рамках комплексного процесса укрепления безопасности и расследования инцидентов.

Чему вы научитесь

• Создавать и проверять базовые показатели целостности файлов для обнаружения несанкционированных изменений.
• Настраивать правила auditd для мониторинга критически важных файлов, команд и директорий.
• Анализировать журналы аутентификации и системные логи Linux на предмет попыток перебора паролей и злоупотребления привилегиями.
• Сопоставлять данные о целостности, аудите и системные журналы для проведения полноценного расследования на хосте.
• Применять комплексные меры контроля на хосте в реалистичном сценарии укрепления безопасности.

План курса

• Мониторинг целостности файлов (FIM): Использование AIDE для создания доверенной базы и выявления несанкционированных модификаций файлов.
• Системный аудит с помощью Auditd: Настройка правил аудита на уровне ядра для высокоточного отслеживания критических операций.
• Анализ системных журналов: Изучение auth.log и syslog для выявления неудачных попыток входа, злоупотребления sudo и подозрительных шаблонов доступа.
• Укрепление безопасности хоста: Объединение мониторинга целостности и аудита для расследования и нейтрализации смоделированной внутренней угрозы.

Для кого этот курс

• Аналитики SOC и специалисты по защите, которым необходимы навыки глубокого расследования на уровне хоста.
• Администраторы Linux, желающие освоить практические методы аудита и укрепления систем.
• Специалисты, переходящие от анализа сетевых пакетов к безопасности конечных точек и серверов.

Результаты

По окончании курса вы сможете контролировать критически важные хосты Linux на предмет вмешательства, расследовать подозрительный доступ и выстраивать более эффективную систему аудита для реальных рабочих сред.