“دانلود کتاب آموزشی AWS Certified DevOps Engineer – Professional جلد اول” به سبد شما افزوده شد. ادامه خرید

افزودن به علاقه مندی

دانلود کتاب آموزشی تحلیلگر سطح SOC Analyst Training Level 1

Name: دانلود کتاب آموزشی تحلیلگر سطح SOC Analyst Training Level 1
SKU: 100901
Availability: InStock

دسته‌بندی: Security Operations Center (SOC) برچسب: ترجمه به زبان فارسی تاریخ به روز رسانی: 7 تیر 1405 تعداد بازدید: 498 بازدید

تعداد صفحات کتاب : 760 صفحه

پشتیبانی ایتا پشتیبانی بله پشتیبانی تلگرام

۷۰۰,۰۰۰تومان

توضیحات
نقد و بررسی‌ها (0)

این دوره برای افرادی طراحی شده است که می‌خواهند به‌عنوان تحلیلگر سطح ۱ در مرکز عملیات امنیت (SOC) فعالیت کنند. تمرکز دوره بر روی شناسایی تهدیدات، پایش هشدارها، تحلیل رخدادها و پاسخ اولیه به حملات سایبری است.

بخش ۱: مقدمه‌ای بر SOC و نقش تحلیلگر سطح ۱

فصل اول | آشنایی با مرکز عملیات امنیت (SOC)

تعریف مرکز عملیات امنیت (Security Operations Center)
تاریخچه شکل‌گیری SOC
اهداف ایجاد SOC در سازمان‌ها
اهمیت SOC در امنیت سایبری مدرن
تفاوت SOC با NOC و CERT
انواع مراکز عملیات امنیت (داخلی، برون‌سپاری، هیبریدی)
ساختار کلی یک SOC
جایگاه SOC در چارچوب امنیت اطلاعات سازمان
مزایا و چالش‌های پیاده‌سازی SOC

فصل دوم | معماری و اجزای مرکز عملیات امنیت

معماری استاندارد SOC
اجزای اصلی مرکز عملیات امنیت
منابع تولید داده‌های امنیتی
نقش تجهیزات امنیتی در SOC
جریان اطلاعات در مرکز عملیات امنیت
ارتباط میان ابزارهای امنیتی
طراحی لایه‌های مانیتورینگ
مرکز فرماندهی و داشبوردهای امنیتی
معماری SOC سنتی و نسل جدید (Next-Gen SOC)

فصل سوم | نقش‌ها و ساختار تیم SOC

ساختار سازمانی مرکز عملیات امنیت
معرفی سطوح مختلف تحلیلگران SOC
نقش SOC Analyst Level 1
نقش SOC Analyst Level 2
نقش SOC Analyst Level 3
نقش Incident Responder
نقش Threat Hunter
نقش مدیر SOC
همکاری میان اعضای تیم SOC
مسیر شغلی تحلیلگران امنیت

فصل چهارم | وظایف تحلیلگر SOC سطح ۱

مسئولیت‌های روزانه تحلیلگر سطح ۱
مانیتورینگ مداوم هشدارهای امنیتی
بررسی اولیه هشدارها (Alert Triage)
اعتبارسنجی رخدادها
تشخیص False Positive و True Positive
اولویت‌بندی هشدارها
Escalation و ارجاع رخدادها به سطوح بالاتر
مستندسازی فعالیت‌ها
مدیریت Ticketها
رعایت فرآیندهای عملیاتی SOC

فصل پنجم | مهارت‌های موردنیاز تحلیلگر SOC

مهارت‌های فنی موردنیاز
مهارت‌های تحلیلی
مهارت حل مسئله
تفکر انتقادی در تحلیل امنیت
مدیریت زمان در محیط SOC
مستندسازی حرفه‌ای
مهارت کار تیمی
ارتباط مؤثر با سایر تیم‌ها
اخلاق حرفه‌ای تحلیلگران امنیت
مدیریت استرس در شیفت‌های SOC

فصل ششم | چرخه کاری در مرکز عملیات امنیت

شیفت‌های کاری SOC
فرآیند دریافت هشدارها
بررسی و اعتبارسنجی رخداد
تحلیل اولیه رخداد
ثبت و مستندسازی
ارجاع رخداد
پیگیری وضعیت Incident
بستن Ticket
تهیه گزارش پایان شیفت
تحویل شیفت به تحلیلگر بعدی

فصل هفتم | آشنایی با مفاهیم پایه امنیت در SOC

مفهوم رویداد (Event)
مفهوم هشدار (Alert)
مفهوم Incident
مفهوم Threat
مفهوم Vulnerability
مفهوم Risk
تفاوت Event، Alert و Incident
چرخه عمر یک رخداد امنیتی
اهمیت همبستگی رویدادها (Correlation)
شاخص‌های امنیتی در مانیتورینگ

فصل هشتم | محیط کاری تحلیلگر SOC

آشنایی با کنسول‌های مانیتورینگ
داشبوردهای عملیاتی
سامانه‌های Ticketing
ابزارهای ارتباط داخلی
مدیریت مستندات
پایگاه دانش (Knowledge Base)
شیوه ثبت فعالیت‌های روزانه
گزارش‌های عملیاتی
استانداردهای مستندسازی

فصل نهم | استانداردها و چارچوب‌های مورد استفاده در SOC

آشنایی با استانداردهای امنیت اطلاعات
چارچوب NIST Cybersecurity Framework
چارچوب NIST Incident Response
استاندارد ISO/IEC 27001
چارچوب MITRE ATT&CK
مدل Cyber Kill Chain
مفهوم Defense in Depth
نقش استانداردها در عملیات SOC
بهترین شیوه‌های مدیریت SOC

فصل دهم | شاخص‌های عملکرد و کیفیت در SOC

مفهوم KPI در SOC
مفهوم SLA
مفهوم SLO
زمان تشخیص تهدید (MTTD)
زمان پاسخگویی (MTTR)
نرخ False Positive
نرخ False Negative
کیفیت تحلیل رخدادها
ارزیابی عملکرد تحلیلگران
بهبود مستمر فرآیندهای SOC

فصل یازدهم | چالش‌ها و فرصت‌های شغلی تحلیلگر SOC

چالش‌های رایج تحلیلگران امنیت
حجم بالای هشدارها (Alert Fatigue)
مدیریت فشار کاری
یادگیری مداوم
مسیر پیشرفت شغلی
گواهینامه‌های معتبر حوزه SOC
فرصت‌های استخدامی
مهارت‌های موردنیاز بازار کار
نقشه راه تبدیل شدن به تحلیلگر حرفه‌ای SOC

فصل دوازدهم | جمع‌بندی و آمادگی برای ورود به مباحث تخصصی

مرور مفاهیم بخش اول
ارتباط SOC با سایر حوزه‌های امنیت سایبری
معرفی مباحث بخش‌های آینده دوره
آمادگی برای یادگیری تحلیل تهدیدات
مرور اصطلاحات کلیدی بخش
تمرین‌های مفهومی
سناریوهای ساده محیط SOC
ارزیابی دانش فراگیران
منابع مطالعاتی تکمیلی بخش اول

بخش ۲: اصول امنیت سایبری و تهدیدات رایج

فصل اول | مبانی امنیت سایبری

تعریف امنیت سایبری (Cybersecurity)
تفاوت امنیت سایبری و امنیت اطلاعات
اهداف اصلی امنیت سایبری
اهمیت امنیت در سازمان‌های امروزی
چشم‌انداز تهدیدات سایبری
مفاهیم پایه‌ای دارایی (Asset)، تهدید (Threat)، آسیب‌پذیری (Vulnerability) و ریسک (Risk)
چرخه مدیریت ریسک
نقش تحلیلگر SOC در حفظ امنیت سازمان

فصل دوم | اصول بنیادین امنیت اطلاعات

مثلث محرمانگی، صحت و دسترس‌پذیری (CIA Triad)
اصل احراز هویت (Authentication)
اصل مجوزدهی (Authorization)
اصل حسابرسی و ثبت رویدادها (Accounting/Auditing)
اصل عدم انکار (Non-Repudiation)
اصل حداقل سطح دسترسی (Least Privilege)
اصل تفکیک وظایف (Separation of Duties)
دفاع در عمق (Defense in Depth)
مدل Zero Trust
امنیت مبتنی بر ریسک

فصل سوم | شناخت تهدیدات سایبری

تعریف تهدیدات سایبری
منابع ایجاد تهدید
تهدیدات داخلی (Insider Threats)
تهدیدات خارجی
تهدیدات عمدی و غیرعمدی
تهدیدات فیزیکی و منطقی
عوامل ایجاد حملات سایبری
روند تکامل تهدیدات
چرخه عمر یک حمله سایبری

فصل چهارم | آشنایی با بدافزارها (Malware)

مفهوم Malware
روش‌های انتشار بدافزار
ویروس (Virus)
کرم (Worm)
تروجان (Trojan)
روت‌کیت (Rootkit)
بک‌دور (Backdoor)
جاسوس‌افزار (Spyware)
تبلیغ‌افزار (Adware)
Keylogger
Bot و Botnet
Fileless Malware
نشانه‌های آلودگی سیستم
روش‌های مقابله با بدافزارها

فصل پنجم | باج‌افزارها (Ransomware)

مفهوم باج‌افزار
نحوه عملکرد Ransomware
مراحل آلودگی
روش‌های نفوذ
انواع باج‌افزارها
حملات دو مرحله‌ای و اخاذی مضاعف
نمونه‌های مشهور حملات باج‌افزاری
روش‌های پیشگیری
اقدامات اولیه هنگام آلودگی
نقش SOC در شناسایی حملات باج‌افزاری

فصل ششم | حملات مهندسی اجتماعی (Social Engineering)

مفهوم مهندسی اجتماعی
روانشناسی حملات
Phishing
Spear Phishing
Whaling
Smishing
Vishing
Baiting
Pretexting
Tailgating
حملات مبتنی بر شبکه‌های اجتماعی
روش‌های مقابله با مهندسی اجتماعی

فصل هفتم | حملات مبتنی بر شبکه

مفهوم حملات شبکه‌ای
حملات شنود (Sniffing)
حملات مرد میانی (MITM)
حملات ARP Spoofing
حملات DNS Spoofing
حملات DHCP
حملات Session Hijacking
حملات Replay
حملات شبکه‌های بی‌سیم
روش‌های شناسایی حملات شبکه

فصل هشتم | حملات علیه سرویس‌ها و زیرساخت‌ها

حملات DoS
حملات DDoS
روش‌های اجرای حملات منع سرویس
Amplification Attacks
Reflection Attacks
حملات SYN Flood
حملات UDP Flood
حملات HTTP Flood
تأثیر حملات بر سازمان
روش‌های دفاع در برابر حملات DoS و DDoS

فصل نهم | حملات علیه برنامه‌های کاربردی

مقدمه‌ای بر امنیت برنامه‌های کاربردی
SQL Injection
Cross Site Scripting (XSS)
Cross Site Request Forgery (CSRF)
Command Injection
File Inclusion
Directory Traversal
XML External Entity (XXE)
Insecure Deserialization
Server Side Request Forgery (SSRF)
آشنایی مقدماتی با OWASP Top 10

فصل دهم | حملات علیه حساب‌های کاربری

Brute Force
Dictionary Attack
Password Spraying
Credential Stuffing
Rainbow Table
Password Cracking
حملات علیه احراز هویت چندمرحله‌ای
حملات Session Token
روش‌های محافظت از حساب‌های کاربری

فصل یازدهم | آسیب‌پذیری‌ها و مدیریت آن‌ها

مفهوم آسیب‌پذیری
تفاوت آسیب‌پذیری و تهدید
آسیب‌پذیری‌های نرم‌افزاری
آسیب‌پذیری‌های سخت‌افزاری
خطاهای پیکربندی
آسیب‌پذیری‌های Zero-Day
آسیب‌پذیری‌های شناخته‌شده (Known Vulnerabilities)
مدیریت آسیب‌پذیری‌ها
اولویت‌بندی اصلاح آسیب‌پذیری‌ها

فصل دوازدهم | اطلاعات تهدیدات (Threat Intelligence)

مفهوم Threat Intelligence
انواع اطلاعات تهدید
منابع اطلاعات تهدید
چرخه تولید Threat Intelligence
Tactical Intelligence
Operational Intelligence
Strategic Intelligence
استفاده از اطلاعات تهدید در SOC
اشتراک‌گذاری اطلاعات تهدید

فصل سیزدهم | آشنایی با OSINT

مفهوم Open Source Intelligence
اهمیت OSINT در امنیت سایبری
منابع عمومی اطلاعات
جستجوی اطلاعات دامنه‌ها
جستجوی اطلاعات IP
جستجوی اطلاعات ایمیل
تحلیل اطلاعات شبکه‌های اجتماعی
بررسی نشت اطلاعات عمومی
اصول اخلاقی و قانونی استفاده از OSINT

فصل چهاردهم | شاخص‌های نفوذ (Indicators of Compromise)

مفهوم IoC
انواع IoC
آدرس‌های IP مخرب
دامنه‌های مخرب
هش فایل‌ها
URLهای مشکوک
رفتارهای غیرعادی سیستم
الگوهای ترافیکی مشکوک
کاربرد IoC در تحلیل رخدادها

فصل پانزدهم | چارچوب‌های تحلیل حملات

معرفی Cyber Kill Chain
مراحل زنجیره حمله
معرفی MITRE ATT&CK
تاکتیک‌ها و تکنیک‌های MITRE
ارتباط حملات واقعی با MITRE
استفاده از ATT&CK در SOC
مقایسه Cyber Kill Chain و MITRE ATT&CK
نقش چارچوب‌ها در تحلیل تهدیدات

فصل شانزدهم | بهترین شیوه‌های دفاع سایبری

دفاع چندلایه (Defense in Depth)
مدیریت وصله‌های امنیتی (Patch Management)
مدیریت هویت و دسترسی (IAM)
اصل Zero Trust
سخت‌سازی سیستم‌ها (System Hardening)
تهیه نسخه پشتیبان (Backup)
آگاهی‌رسانی امنیتی کاربران
مانیتورینگ مستمر
مدیریت رخدادهای امنیتی
بهبود مستمر وضعیت امنیتی

فصل هفدهم | جمع‌بندی و آمادگی برای تحلیل امنیت

مرور مفاهیم کلیدی بخش دوم
ارتباط تهدیدات با تحلیل رخدادهای امنیتی
نحوه شناسایی الگوهای حمله
بررسی سناریوهای واقعی حملات
تحلیل نمونه‌های حملات رایج
مرور اصطلاحات تخصصی
ارزیابی دانش فراگیران
آمادگی برای ورود به مباحث SIEM و تحلیل لاگ‌ها
منابع مطالعاتی تکمیلی

بخش ۳: آشنایی با ابزارهای مانیتورینگ و SIEM

فصل اول | آشنایی با SIEM و نقش آن در SOC

تعریف SIEM (Security Information and Event Management)
تاریخچه پیدایش SIEM
اهمیت SIEM در مراکز عملیات امنیت (SOC)
تفاوت Log Management و SIEM
قابلیت‌های اصلی SIEM
مزایا و محدودیت‌های SIEM
جایگاه SIEM در معماری امنیت سازمان
ارتباط SIEM با سایر تجهیزات امنیتی
روند تکامل SIEM تا نسل Next-Gen SIEM

فصل دوم | معماری و اجزای سیستم SIEM

معماری کلی SIEM
اجزای اصلی سیستم SIEM
Log Collector
Log Forwarder
Event Processor
Correlation Engine
Rule Engine
Storage و Data Repository
Dashboard
Alert Manager
Reporting Engine
High Availability در SIEM

فصل سوم | آشنایی با داده‌ها و لاگ‌های امنیتی

مفهوم Log
اهمیت ثبت لاگ‌ها
انواع Log
ساختار یک Log
منابع تولید Log
چرخه عمر Log
دسته‌بندی رویدادهای امنیتی
Event، Alert و Incident
کیفیت داده‌های امنیتی
مدیریت حجم لاگ‌ها

فصل چهارم | جمع‌آوری و مدیریت لاگ‌ها

روش‌های جمع‌آوری Log
Log Aggregation
Log Normalization
Log Parsing
Log Filtering
Log Enrichment
زمان‌بندی جمع‌آوری لاگ‌ها
مدیریت منابع داده
کنترل کیفیت داده‌ها
سیاست‌های نگهداری Log

فصل پنجم | آشنایی با منابع تولید لاگ

لاگ‌های سیستم‌عامل Windows
لاگ‌های Linux و Unix
لاگ‌های Active Directory
لاگ‌های تجهیزات شبکه
لاگ‌های Firewall
لاگ‌های IDS و IPS
لاگ‌های آنتی‌ویروس و EDR
لاگ‌های Proxy
لاگ‌های Web Server
لاگ‌های Database
لاگ‌های سرویس‌های ابری
لاگ‌های تجهیزات IoT

فصل ششم | تحلیل و همبستگی رویدادها (Event Correlation)

مفهوم Correlation
اهمیت همبستگی رخدادها
Correlation Rule
Correlation Policy
تحلیل چندمرحله‌ای حملات
Correlation بر اساس زمان
Correlation بر اساس کاربران
Correlation بر اساس IP
Correlation بر اساس Asset
کاهش هشدارهای تکراری
افزایش دقت تحلیل

فصل هفتم | قوانین تشخیص و مدیریت هشدارها

مفهوم Detection Rule
ساختار قوانین تشخیص
طراحی Ruleهای امنیتی
Alert Generation
Severity Level
Risk Score
اولویت‌بندی هشدارها
مدیریت False Positive
مدیریت False Negative
بهینه‌سازی قوانین تشخیص

فصل هشتم | داشبوردها و گزارش‌های امنیتی

مفهوم Dashboard
طراحی داشبوردهای عملیاتی
داشبورد مدیریتی
داشبورد تحلیلگران
شاخص‌های امنیتی (Security Metrics)
گزارش‌های روزانه
گزارش‌های هفتگی
گزارش‌های ماهانه
گزارش Incidentها
گزارش وضعیت امنیت سازمان

فصل نهم | آشنایی با Splunk

معرفی Splunk
معماری Splunk
اجزای اصلی Splunk
نحوه جمع‌آوری داده‌ها
ساختار داده‌ها در Splunk
داشبوردهای Splunk
مدیریت هشدارها
قابلیت‌های جستجو
گزارش‌گیری در Splunk
کاربرد Splunk در SOC

فصل دهم | آشنایی با IBM QRadar

معرفی IBM QRadar
معماری QRadar
اجزای سیستم
Event Collector
Flow Collector
Console
Correlation Engine
Offense Management
Dashboardها
کاربرد QRadar در عملیات SOC

فصل یازدهم | آشنایی با ArcSight

معرفی ArcSight
معماری ArcSight
Smart Connector
Event Broker
Logger
ESM
Correlation
Dashboard
گزارش‌گیری
مزایا و محدودیت‌های ArcSight

فصل دوازدهم | آشنایی با Elastic Security

معرفی Elastic Stack
معماری Elastic Security
Elasticsearch
Logstash
Kibana
Beats
Elastic Agent
Elastic SIEM
Detection Rules
داشبوردها و Visualization
کاربرد Elastic Security در SOC

فصل سیزدهم | آشنایی با سایر ابزارهای مانیتورینگ امنیت

Microsoft Sentinel
Wazuh
Graylog
Security Onion
AlienVault OSSIM
LogRhythm
Chronicle SIEM
OpenSearch Security
مقایسه ابزارهای متن‌باز و تجاری
معیارهای انتخاب SIEM مناسب

فصل چهاردهم | یکپارچه‌سازی SIEM با تجهیزات امنیتی

اتصال SIEM به Firewall
اتصال به IDS/IPS
اتصال به EDR
اتصال به Antivirus
اتصال به Active Directory
اتصال به تجهیزات شبکه
اتصال به تجهیزات Cloud
اتصال به سرویس‌های ایمیل
اتصال به Threat Intelligence
مدیریت Data Sourceها

فصل پانزدهم | آشنایی با مفاهیم پیشرفته SIEM

User Behavior Analytics (UBA)
User and Entity Behavior Analytics (UEBA)
Threat Intelligence Integration
Threat Hunting در SIEM
Automation
Orchestration
مفهوم SOAR
ارتباط SIEM و SOAR
هوش مصنوعی در SIEM
SIEM نسل جدید

فصل شانزدهم | بهترین شیوه‌های پیاده‌سازی SIEM

برنامه‌ریزی استقرار SIEM
انتخاب منابع داده
طراحی معماری مناسب
استانداردسازی لاگ‌ها
مدیریت ظرفیت ذخیره‌سازی
تنظیم قوانین تشخیص
مدیریت عملکرد سیستم
نگهداری و به‌روزرسانی SIEM
ارزیابی کارایی SIEM
بهبود مستمر فرآیندهای مانیتورینگ

فصل هفدهم | سناریوهای عملی تحلیل در SIEM

بررسی سناریوهای واقعی مانیتورینگ
تحلیل هشدارهای رایج
شناسایی حملات از طریق همبستگی رویدادها
بررسی فعالیت‌های مشکوک کاربران
تحلیل حملات Brute Force
تحلیل حملات Malware
تحلیل حملات Phishing
تحلیل دسترسی‌های غیرمجاز
مدیریت Incidentهای شناسایی‌شده
مستندسازی فرآیند تحلیل

فصل هجدهم | جمع‌بندی و آمادگی برای تحلیل لاگ‌ها

مرور مفاهیم SIEM
جمع‌بندی ابزارهای مانیتورینگ
ارتباط SIEM با Incident Response
ارتباط SIEM با Threat Hunting
مرور اصطلاحات تخصصی
سناریوهای مرور نهایی
ارزیابی دانش فراگیران
منابع مطالعاتی تکمیلی
آمادگی برای ورود به بخش «بررسی لاگ‌ها و تحلیل رخدادهای امنیتی»

بخش ۴: بررسی لاگ‌ها و تحلیل رخدادهای امنیتی

فصل اول | مبانی تحلیل لاگ‌های امنیتی

مفهوم Log Analysis
اهمیت تحلیل لاگ‌ها در SOC
نقش لاگ‌ها در شناسایی تهدیدات
تفاوت Event، Alert و Incident
چرخه تحلیل رخدادهای امنیتی
منابع تولید لاگ
ویژگی‌های یک لاگ معتبر
اصول خواندن و تفسیر لاگ‌ها
چالش‌های تحلیل لاگ
بهترین شیوه‌های تحلیل امنیتی

فصل دوم | ساختار و اجزای لاگ‌های امنیتی

اجزای تشکیل‌دهنده یک Log
Timestamp و اهمیت همگام‌سازی زمان
Source و Destination
شناسه‌های رویداد (Event ID)
Severity Level
Username و Account
Hostname
IP Address
Port و Protocol
Process و Service
Session ID
Correlation ID
Metadata در لاگ‌ها

فصل سوم | تحلیل لاگ‌های سیستم‌عامل Windows

ساختار Windows Event Logs
دسته‌بندی لاگ‌های ویندوز
Security Logs
System Logs
Application Logs
Setup Logs
Forwarded Events
بررسی Event IDهای مهم
تحلیل ورود و خروج کاربران
تحلیل تغییرات حساب‌های کاربری
تحلیل اجرای برنامه‌ها
تحلیل رخدادهای امنیتی ویندوز
شناسایی رفتارهای مشکوک

فصل چهارم | تحلیل لاگ‌های Linux و Unix

ساختار Syslog
Systemd Journal
Authentication Logs
Kernel Logs
Daemon Logs
Boot Logs
Cron Logs
SSH Logs
بررسی فرآیندها
تحلیل تغییرات کاربران
تحلیل سرویس‌ها
شناسایی فعالیت‌های غیرمجاز

فصل پنجم | تحلیل لاگ‌های Active Directory

ساختار لاگ‌های Active Directory
تحلیل فرآیندهای احراز هویت
بررسی ورودهای موفق
بررسی ورودهای ناموفق
تحلیل تغییرات کاربران
تحلیل تغییرات Group Policy
بررسی تغییرات گروه‌های امنیتی
تحلیل تغییرات Domain Controller
شناسایی حملات علیه AD
تحلیل فعالیت‌های مشکوک

فصل ششم | تحلیل لاگ‌های تجهیزات شبکه

لاگ‌های Router
لاگ‌های Switch
لاگ‌های VPN
لاگ‌های Wireless Controller
لاگ‌های Load Balancer
تحلیل تغییرات پیکربندی
تحلیل ارتباطات شبکه
بررسی خطاهای ارتباطی
شناسایی ناهنجاری‌های شبکه
تحلیل رویدادهای مدیریتی

فصل هفتم | تحلیل لاگ‌های Firewall

ساختار لاگ‌های Firewall
تحلیل ترافیک ورودی
تحلیل ترافیک خروجی
بررسی سیاست‌های امنیتی
تحلیل Sessionها
بررسی ارتباطات Block شده
تحلیل NAT
تحلیل VPN
شناسایی اسکن پورت
شناسایی ارتباطات مشکوک

فصل هشتم | تحلیل لاگ‌های IDS و IPS

نقش IDS و IPS در SOC
ساختار Alertهای IDS
تحلیل هشدارهای Snort
تحلیل هشدارهای Suricata
Signature-Based Detection
Anomaly-Based Detection
بررسی False Positive
اعتبارسنجی هشدارها
تحلیل حملات شبکه
مستندسازی یافته‌ها

فصل نهم | تحلیل لاگ‌های آنتی‌ویروس و EDR

ساختار لاگ‌های Endpoint Security
تحلیل شناسایی بدافزار
بررسی فرآیندهای مشکوک
تحلیل فایل‌های آلوده
بررسی رفتار برنامه‌ها
تحلیل Quarantine
تحلیل اقدامات اصلاحی
بررسی Threat Detection
شناسایی Persistence
تحلیل هشدارهای Endpoint

فصل دهم | تحلیل لاگ‌های سرورهای وب و برنامه‌های کاربردی

لاگ‌های Web Server
لاگ‌های Application Server
تحلیل درخواست‌های HTTP
بررسی پاسخ‌های سرور
تحلیل خطاهای برنامه
شناسایی حملات SQL Injection
شناسایی حملات XSS
تحلیل دسترسی‌های غیرمجاز
بررسی رفتار کاربران
تحلیل فعالیت‌های غیرعادی

فصل یازدهم | تحلیل ترافیک شبکه با Wireshark

معرفی Wireshark
ساختار بسته‌های شبکه
Capture و ذخیره‌سازی ترافیک
تحلیل پروتکل‌های رایج
بررسی TCP
بررسی UDP
بررسی DNS
بررسی HTTP و HTTPS
بررسی ICMP
تحلیل نشست‌های شبکه
شناسایی ارتباطات مشکوک
مستندسازی تحلیل‌ها

فصل دوازدهم | تحلیل حملات رایج از طریق لاگ‌ها

تحلیل حملات Brute Force
تحلیل حملات Password Spraying
تحلیل حملات Phishing
تحلیل حملات Malware
تحلیل حملات Ransomware
تحلیل حملات DoS و DDoS
تحلیل حملات MITM
تحلیل حملات Web
تحلیل دسترسی غیرمجاز
تحلیل انتقال داده‌های مشکوک

فصل سیزدهم | همبستگی رویدادها و تحلیل چندمنبعی

مفهوم Event Correlation
تحلیل چندمرحله‌ای حملات
ارتباط میان لاگ‌های مختلف
همبستگی زمانی
همبستگی کاربران
همبستگی IPها
همبستگی Assetها
شناسایی زنجیره حمله
کاهش هشدارهای تکراری
اعتبارسنجی نتایج تحلیل

فصل چهاردهم | تحلیل رفتار کاربران و موجودیت‌ها

مفهوم User Behavior Analysis
مفهوم Entity Behavior Analysis
ایجاد خط مبنا (Baseline)
تشخیص ناهنجاری‌ها
تحلیل الگوهای ورود کاربران
تحلیل دسترسی‌ها
تحلیل فعالیت حساب‌های ممتاز
تحلیل رفتار دستگاه‌ها
شناسایی Insider Threat
بررسی رفتارهای غیرعادی

فصل پانزدهم | شناسایی شاخص‌های نفوذ (IoCs)

مفهوم Indicators of Compromise
انواع IoC
تحلیل هش فایل‌ها
تحلیل IPهای مخرب
تحلیل دامنه‌های مخرب
تحلیل URLهای مشکوک
تحلیل ایمیل‌های مخرب
تحلیل Registry Changes
تحلیل فرآیندهای مشکوک
استفاده از IoC در بررسی رخدادها

فصل شانزدهم | اعتبارسنجی هشدارها و تصمیم‌گیری تحلیلگر

بررسی اولیه هشدار
اعتبارسنجی Alert
تعیین شدت رخداد
تعیین اولویت Incident
تشخیص False Positive
تشخیص True Positive
تصمیم‌گیری درباره Escalation
مستندسازی تحلیل
ثبت نتیجه بررسی
بستن یا ارجاع Ticket

فصل هفدهم | سناریوهای عملی تحلیل رخدادهای امنیتی

تحلیل سناریوی نفوذ به شبکه
تحلیل حمله Brute Force
تحلیل آلودگی بدافزار
تحلیل حمله باج‌افزار
تحلیل دسترسی غیرمجاز
تحلیل نشت اطلاعات
تحلیل حملات داخلی
تحلیل حملات وب
تحلیل فعالیت‌های غیرعادی کاربران
جمع‌بندی فرآیند تحلیل

فصل هجدهم | مستندسازی و گزارش تحلیل رخدادها

اصول مستندسازی امنیتی
ثبت جزئیات تحلیل
نگارش گزارش Incident
تهیه Timeline رخداد
مستندسازی شواهد
ثبت IoCها
ارائه پیشنهادهای اصلاحی
تهیه گزارش مدیریتی
اشتراک‌گذاری یافته‌ها با تیم Incident Response
آرشیو مستندات امنیتی

فصل نوزدهم | جمع‌بندی و آمادگی برای پاسخگویی به رخدادها

مرور مفاهیم کلیدی تحلیل لاگ
مرور روش‌های تحلیل رخداد
ارتباط تحلیل لاگ با Incident Response
مرور فرآیند اعتبارسنجی هشدارها
مرور سناریوهای عملی
ارزیابی دانش فراگیران
تمرین‌های تحلیلی
منابع مطالعاتی تکمیلی
آمادگی برای ورود به بخش «پاسخگویی به رخدادهای امنیتی (Incident Response)»

بخش ۵: پاسخگویی به رخدادهای امنیتی (Incident Response)

فصل اول | آشنایی با پاسخگویی به رخدادهای امنیتی

تعریف Incident Response
اهمیت پاسخگویی به رخدادها در امنیت سایبری
اهداف فرآیند پاسخگویی به رخداد
تفاوت Event، Alert، Incident و Breach
نقش Incident Response در SOC
مزایای داشتن تیم پاسخگویی به رخداد
چالش‌های رایج در مدیریت رخدادها
استانداردها و بهترین شیوه‌های پاسخگویی
چرخه عمر یک رخداد امنیتی

فصل دوم | چارچوب‌ها و استانداردهای Incident Response

معرفی NIST Incident Response Lifecycle
چارچوب SANS Incident Handling
استاندارد ISO/IEC 27035
نقش MITRE ATT&CK در پاسخگویی
Cyber Kill Chain و تحلیل رخداد
مقایسه چارچوب‌های مختلف
انتخاب چارچوب مناسب برای سازمان
مستندسازی بر اساس استانداردها
بهترین شیوه‌های بین‌المللی

فصل سوم | مرحله آمادگی (Preparation)

اهمیت آمادگی قبل از وقوع رخداد
تشکیل تیم Incident Response
تعیین نقش‌ها و مسئولیت‌ها
طراحی سیاست‌های پاسخگویی
ایجاد رویه‌های عملیاتی
آماده‌سازی ابزارهای امنیتی
تهیه فهرست دارایی‌ها
مدیریت نسخه‌های پشتیبان
آموزش کاربران
تمرین و شبیه‌سازی رخدادها

فصل چهارم | شناسایی رخدادهای امنیتی (Identification)

فرآیند شناسایی رخداد
دریافت هشدارهای امنیتی
اعتبارسنجی هشدارها
تحلیل اولیه رخداد
بررسی منابع داده
جمع‌آوری شواهد اولیه
تعیین دامنه رخداد
تعیین نوع حمله
تعیین سطح تهدید
مستندسازی یافته‌های اولیه

فصل پنجم | طبقه‌بندی و اولویت‌بندی رخدادها

مفهوم Incident Classification
دسته‌بندی انواع رخدادها
تعیین شدت (Severity)
تعیین اولویت (Priority)
ارزیابی تأثیر رخداد
ارزیابی احتمال گسترش
ارزیابی حساسیت دارایی‌ها
تعیین SLA پاسخگویی
مدیریت رخدادهای بحرانی
Escalation رخدادها

فصل ششم | جمع‌آوری و حفظ شواهد دیجیتال

مفهوم Digital Evidence
اصول جمع‌آوری شواهد
حفظ یکپارچگی شواهد
Chain of Custody
انواع شواهد دیجیتال
مستندسازی شواهد
ذخیره‌سازی امن شواهد
اعتبارسنجی شواهد
اصول قانونی نگهداری شواهد
همکاری با تیم جرم‌شناسی دیجیتال

فصل هفتم | مهار رخدادهای امنیتی (Containment)

مفهوم Containment
اهداف مهار رخداد
مهار کوتاه‌مدت
مهار بلندمدت
ایزوله‌سازی سیستم‌های آلوده
مسدودسازی ارتباطات مخرب
غیرفعال‌سازی حساب‌های آلوده
مدیریت سرویس‌های آسیب‌دیده
کاهش گسترش حمله
ارزیابی اثربخشی اقدامات مهار

فصل هشتم | حذف تهدیدات (Eradication)

مفهوم Eradication
شناسایی علت اصلی رخداد
حذف بدافزارها
حذف دسترسی‌های غیرمجاز
حذف فایل‌های مخرب
اصلاح آسیب‌پذیری‌ها
حذف Persistence مهاجم
پاک‌سازی سیستم‌ها
اعتبارسنجی حذف تهدید
مستندسازی اقدامات انجام‌شده

فصل نهم | بازیابی و بازگردانی سرویس‌ها (Recovery)

مفهوم Recovery
برنامه‌ریزی بازگردانی سرویس‌ها
بازیابی سیستم‌ها
بازیابی داده‌ها
اعتبارسنجی سلامت سیستم
بررسی بازگشت سرویس‌ها
نظارت پس از بازیابی
مدیریت ریسک بازگشت مهاجم
تأیید عملکرد عادی سیستم
مستندسازی فرآیند بازیابی

فصل دهم | تحلیل پس از رخداد (Post-Incident Analysis)

اهمیت تحلیل پس از رخداد
بررسی علت ریشه‌ای (Root Cause Analysis)
تحلیل Timeline رخداد
ارزیابی عملکرد تیم پاسخگویی
بررسی نقاط ضعف امنیتی
استخراج درس‌آموخته‌ها (Lessons Learned)
پیشنهاد اقدامات اصلاحی
بهبود سیاست‌های امنیتی
بهبود فرآیندهای پاسخگویی
مستندسازی نتایج

فصل یازدهم | مستندسازی و گزارش‌دهی رخدادها

اصول مستندسازی Incident
ساختار گزارش Incident
ثبت جزئیات رخداد
ثبت Timeline
مستندسازی شواهد
ثبت اقدامات انجام‌شده
ثبت تصمیمات تیم پاسخگویی
تهیه گزارش فنی
تهیه گزارش مدیریتی
آرشیو گزارش‌ها

فصل دوازدهم | ارتباطات در مدیریت رخداد

مدیریت ارتباطات داخلی
ارتباط با مدیران
ارتباط با تیم‌های فنی
ارتباط با واحد حقوقی
ارتباط با روابط عمومی
ارتباط با مشتریان
اطلاع‌رسانی در زمان بحران
مدیریت محرمانگی اطلاعات
مدیریت جلسات Incident
مستندسازی ارتباطات

فصل سیزدهم | نقش تحلیلگر SOC Level 1 در Incident Response

مسئولیت‌های تحلیلگر سطح ۱
بررسی اولیه هشدارها
اعتبارسنجی رخداد
جمع‌آوری اطلاعات اولیه
مستندسازی یافته‌ها
Escalation به تحلیلگران سطح بالاتر
همکاری با تیم Incident Response
پیگیری وضعیت رخداد
به‌روزرسانی Ticket
بستن رخداد پس از تأیید

فصل چهاردهم | سناریوهای پاسخگویی به رخدادهای رایج

پاسخ به حملات Brute Force
پاسخ به حملات Phishing
پاسخ به آلودگی Malware
پاسخ به حملات Ransomware
پاسخ به حملات DoS و DDoS
پاسخ به نفوذ شبکه
پاسخ به نشت اطلاعات
پاسخ به Insider Threat
پاسخ به حملات Web Application
بررسی سناریوهای ترکیبی

فصل پانزدهم | اتوماسیون در Incident Response

مفهوم Security Automation
معرفی SOAR
نقش Playbookها
نقش Runbookها
خودکارسازی پاسخگویی
کاهش زمان پاسخ
مزایا و محدودیت‌های اتوماسیون
یکپارچه‌سازی SIEM و SOAR
نقش هوش مصنوعی در پاسخگویی
آینده Incident Response

فصل شانزدهم | شاخص‌های ارزیابی عملکرد Incident Response

میانگین زمان تشخیص (MTTD)
میانگین زمان پاسخ (MTTR)
نرخ مهار موفق
نرخ بازیابی موفق
نرخ False Positive
نرخ False Negative
KPIهای تیم پاسخگویی
ارزیابی کیفیت مستندسازی
ارزیابی عملکرد تیم
بهبود مستمر فرآیندها

فصل هفدهم | الزامات حقوقی و انطباق در پاسخگویی به رخداد

الزامات قانونی مدیریت رخداد
حفظ محرمانگی اطلاعات
قوانین حفاظت از داده‌ها
الزامات گزارش‌دهی
انطباق با استانداردهای امنیتی
ملاحظات حقوقی جمع‌آوری شواهد
همکاری با مراجع قانونی
مسئولیت‌های سازمان
مدیریت ریسک حقوقی
مستندسازی برای حسابرسی

فصل هجدهم | تمرین‌های عملی و سناریوهای شبیه‌سازی Incident Response

شبیه‌سازی فرآیند پاسخ به رخداد
تمرین تحلیل هشدارها
تمرین طبقه‌بندی Incident
تمرین مهار حملات
تمرین حذف تهدید
تمرین بازیابی سرویس‌ها
تمرین تهیه گزارش Incident
ارزیابی عملکرد تیم
مرور اشتباهات رایج
تحلیل سناریوهای واقعی

فصل نوزدهم | جمع‌بندی و آمادگی برای تحلیل بدافزارها

مرور مراحل Incident Response
جمع‌بندی چارچوب‌های پاسخگویی
مرور نقش تحلیلگر SOC Level 1
مرور بهترین شیوه‌های مستندسازی
بررسی ارتباط Incident Response با Threat Hunting
مرور سناریوهای عملی
ارزیابی نهایی فراگیران
منابع مطالعاتی تکمیلی
آمادگی برای ورود به بخش »تحلیل بدافزارهای ساده و رفتارشناسی حملات«

بخش ۶: تحلیل بدافزارهای ساده و رفتارشناسی حملات

فصل اول | مقدمه‌ای بر تحلیل بدافزارها

تعریف بدافزار (Malware)
تاریخچه تکامل بدافزارها
اهداف مهاجمان از توسعه بدافزار
چرخه عمر یک بدافزار
نقش تحلیل بدافزار در SOC
تفاوت تحلیل بدافزار و مهندسی معکوس
انواع روش‌های تحلیل بدافزار
چالش‌های تحلیل بدافزار
اصول ایمنی در تحلیل بدافزار

فصل دوم | آشنایی با انواع بدافزارها

ویروس (Virus)
کرم (Worm)
تروجان (Trojan)
باج‌افزار (Ransomware)
جاسوس‌افزار (Spyware)
تبلیغ‌افزار (Adware)
Rootkit
Backdoor
Keylogger
Bot و Botnet
Fileless Malware
Cryptominer
Wiper Malware
Loader و Dropper
تفاوت عملکرد انواع بدافزارها

فصل سوم | محیط ایمن تحلیل بدافزار (Malware Lab)

اهمیت محیط ایزوله
Sandbox چیست؟
ماشین مجازی (Virtual Machine)
Snapshot و Rollback
شبکه ایزوله
مدیریت فایل‌های مشکوک
اصول ایمنی در آزمایشگاه
جلوگیری از انتشار بدافزار
مستندسازی محیط تحلیل
بهترین شیوه‌های راه‌اندازی Malware Lab

فصل چهارم | تحلیل ایستا (Static Analysis)

مفهوم Static Analysis
اهداف تحلیل ایستا
بررسی مشخصات فایل
شناسایی نوع فایل
تحلیل ساختار فایل
بررسی Header فایل‌ها
تحلیل رشته‌ها (Strings)
بررسی Metadata
بررسی امضای دیجیتال
تحلیل Hash فایل
شناسایی Packing و Obfuscation
مزایا و محدودیت‌های تحلیل ایستا

فصل پنجم | تحلیل پویا (Dynamic Analysis)

مفهوم Dynamic Analysis
تفاوت تحلیل پویا و ایستا
اجرای ایمن بدافزار
مشاهده رفتار فایل
تحلیل فرآیندها
بررسی تغییرات فایل‌ها
بررسی تغییرات Registry
تحلیل سرویس‌های ایجادشده
تحلیل ارتباطات شبکه
تحلیل فعالیت حافظه
ثبت رفتار بدافزار
مزایا و محدودیت‌های تحلیل پویا

فصل ششم | آشنایی با ابزارهای تحلیل بدافزار

معرفی VirusTotal
معرفی Any.Run
معرفی Hybrid Analysis
معرفی Joe Sandbox
معرفی CAPE Sandbox
معرفی Cuckoo Sandbox
معرفی Intezer Analyze
مقایسه Sandboxهای آنلاین و آفلاین
انتخاب ابزار مناسب
محدودیت‌ها و ملاحظات استفاده از ابزارها

فصل هفتم | تحلیل رفتار فایل‌های مشکوک

بررسی فایل‌های اجرایی
تحلیل فایل‌های Office
تحلیل فایل‌های PDF
بررسی اسکریپت‌ها
تحلیل فایل‌های آرشیوی
تحلیل فایل‌های فشرده
بررسی فایل‌های دانلودی
تحلیل فایل‌های ضمیمه ایمیل
شناسایی فایل‌های مخرب
مستندسازی نتایج تحلیل

فصل هشتم | تحلیل فرآیندها و فعالیت‌های سیستمی

مفهوم Process Analysis
بررسی فرآیندهای فعال
شناسایی فرآیندهای غیرعادی
تحلیل Parent و Child Process
بررسی Command Lineها
تحلیل Serviceها
بررسی Scheduled Taskها
تحلیل Startupها
بررسی DLLهای بارگذاری‌شده
شناسایی تکنیک‌های Persistence

فصل نهم | تحلیل تغییرات سیستم

تغییرات فایل‌ها
تغییرات Registry
تغییرات سرویس‌ها
تغییرات کاربران
تغییرات مجوزها
ایجاد فایل‌های موقت
تغییرات Startup
تغییرات Scheduled Task
تغییرات WMI
تحلیل تغییرات ایجادشده توسط بدافزار

فصل دهم | تحلیل رفتار شبکه‌ای بدافزار

ارتباطات خروجی بدافزار
ارتباطات ورودی
سرورهای Command and Control (C2)
تحلیل درخواست‌های DNS
تحلیل ارتباطات HTTP و HTTPS
تحلیل ارتباطات رمزگذاری‌شده
بررسی Beaconing
تحلیل انتقال داده‌ها
شناسایی دامنه‌های مخرب
شناسایی IPهای مشکوک

فصل یازدهم | شناسایی Indicators of Compromise (IoCs)

مفهوم IoC
انواع IoC
Hash فایل‌ها
آدرس‌های IP مخرب
دامنه‌های مخرب
URLهای مخرب
مسیر فایل‌های مشکوک
کلیدهای Registry
نام سرویس‌ها
فرآیندهای مشکوک
الگوهای رفتاری
استفاده از IoC در SOC

فصل دوازدهم | تحلیل رفتار مهاجم و زنجیره حمله

مفهوم رفتار مهاجم
مراحل اجرای حمله
تحلیل Tactics
تحلیل Techniques
تحلیل Procedures
معرفی TTPها
ارتباط TTPها با MITRE ATT&CK
تحلیل Cyber Kill Chain
شناسایی مسیر نفوذ
مستندسازی رفتار مهاجم

فصل سیزدهم | رفتارشناسی کاربران و موجودیت‌ها

مفهوم User Behavior Analytics (UBA)
مفهوم User and Entity Behavior Analytics (UEBA)
ایجاد خط مبنا (Baseline)
تحلیل رفتار کاربران
تحلیل رفتار سیستم‌ها
شناسایی فعالیت‌های غیرعادی
تشخیص Insider Threat
تحلیل دسترسی‌های غیرمجاز
بررسی تغییرات غیرمنتظره
نقش رفتارشناسی در SOC

فصل چهاردهم | تحلیل حملات رایج

تحلیل حملات Phishing
تحلیل حملات Ransomware
تحلیل حملات Brute Force
تحلیل حملات Credential Theft
تحلیل حملات Web
تحلیل حملات Botnet
تحلیل حملات Fileless
تحلیل حملات Living off the Land (LotL)
تحلیل حملات Insider
تحلیل حملات چندمرحله‌ای

فصل پانزدهم | مستندسازی تحلیل بدافزار

ثبت اطلاعات فایل
ثبت رفتار مشاهده‌شده
مستندسازی IoCها
مستندسازی TTPها
ثبت نتایج تحلیل
تهیه Timeline
تهیه گزارش فنی
تهیه گزارش مدیریتی
اشتراک‌گذاری یافته‌ها
آرشیو گزارش‌ها

فصل شانزدهم | همکاری تحلیلگر SOC با تیم‌های تخصصی

همکاری با تیم Incident Response
همکاری با Threat Hunter
همکاری با تیم Digital Forensics
همکاری با تیم Blue Team
همکاری با تیم Red Team
همکاری با تیم Threat Intelligence
ارجاع نمونه‌های مشکوک
تبادل اطلاعات امنیتی
مدیریت فرآیند Escalation
مستندسازی همکاری‌ها

فصل هفدهم | سناریوهای عملی تحلیل بدافزار

تحلیل نمونه‌های واقعی بدافزار
تحلیل حملات باج‌افزاری
تحلیل فایل‌های آلوده
تحلیل ایمیل‌های مخرب
تحلیل ارتباطات C2
استخراج IoCها
تحلیل رفتار فرآیندها
تحلیل تغییرات سیستم
بررسی شواهد دیجیتال
تهیه گزارش نهایی تحلیل

فصل هجدهم | بهترین شیوه‌های تحلیل بدافزار در SOC

اصول ایمنی در تحلیل
مدیریت نمونه‌های آلوده
جلوگیری از آلودگی محیط
به‌روزرسانی ابزارهای تحلیل
استفاده از Threat Intelligence
اعتبارسنجی نتایج
اشتراک‌گذاری IoCها
بهبود فرآیند تحلیل
کاهش زمان تحلیل
افزایش دقت تحلیل

فصل نوزدهم | جمع‌بندی و آمادگی برای مدیریت عملیات SOC

مرور مفاهیم تحلیل بدافزار
مرور روش‌های تحلیل ایستا و پویا
مرور IoCها و TTPها
مرور رفتارشناسی حملات
ارتباط تحلیل بدافزار با Incident Response
ارتباط تحلیل بدافزار با Threat Hunting
مرور سناریوهای عملی
ارزیابی نهایی فراگیران
منابع مطالعاتی تکمیلی
آمادگی برای ورود به بخش مدیریت و بهبود عملکرد «SOC»

بخش ۷: مدیریت و بهبود عملکرد SOC

فصل اول | مدیریت مرکز عملیات امنیت (SOC Management)

مفهوم مدیریت SOC
اهداف مدیریت مرکز عملیات امنیت
ساختار مدیریتی SOC
وظایف مدیر SOC
نقش سرپرستان شیفت
مدیریت تیم‌های عملیاتی
مدیریت منابع انسانی
مدیریت فرآیندهای امنیتی
مدیریت کیفیت خدمات SOC
چالش‌های مدیریت مرکز عملیات امنیت

فصل دوم | فرآیندهای عملیاتی در SOC

مفهوم SOC Operations
چرخه عملیاتی SOC
مدیریت مانیتورینگ ۲۴×۷
فرآیند دریافت و بررسی هشدارها
فرآیند تحلیل رخدادها
فرآیند Escalation
مدیریت Ticketها
مدیریت شیفت‌های کاری
هماهنگی بین تیم‌ها
بهبود فرآیندهای عملیاتی

فصل سوم | طراحی و مدیریت Playbook و Runbook

مفهوم Playbook
مفهوم Runbook
تفاوت Playbook و Runbook
اجزای یک Playbook استاندارد
اجزای یک Runbook استاندارد
طراحی فرآیندهای پاسخگویی
مستندسازی رویه‌ها
استانداردسازی عملیات
نگهداری و به‌روزرسانی Playbookها
بهبود مستمر رویه‌های عملیاتی

فصل چهارم | مدیریت هشدارها و رخدادهای امنیتی

چرخه مدیریت هشدارها
اولویت‌بندی Alertها
کاهش Alert Fatigue
مدیریت False Positive
مدیریت False Negative
بهینه‌سازی قوانین تشخیص
مدیریت Incidentها
پیگیری وضعیت رخدادها
بستن Ticketها
تحلیل روند رخدادها

فصل پنجم | مدیریت عملکرد تحلیلگران SOC

وظایف تحلیلگران در سطوح مختلف
مدیریت شیفت‌ها
تقسیم وظایف
ارزیابی عملکرد تحلیلگران
مدیریت حجم کاری
آموزش نیروهای جدید
مدیریت استرس
افزایش بهره‌وری تیم
حفظ انگیزه کارکنان
توسعه مسیر شغلی تحلیلگران

فصل ششم | شاخص‌های ارزیابی عملکرد SOC

مفهوم KPI
مفهوم SLA
مفهوم SLO
Mean Time to Detect (MTTD)
Mean Time to Respond (MTTR)
Mean Time to Contain (MTTC)
نرخ False Positive
نرخ False Negative
نرخ موفقیت Incident Response
ارزیابی کیفیت تحلیل‌ها
داشبوردهای مدیریتی عملکرد

فصل هفتم | مدیریت دانش در SOC

مفهوم Knowledge Management
ایجاد Knowledge Base
مستندسازی تجربیات
ثبت Lessons Learned
اشتراک دانش میان تحلیلگران
مدیریت مستندات
استانداردسازی مستندات
مدیریت نسخه‌ها
به‌روزرسانی اطلاعات
حفظ دانش سازمانی

فصل هشتم | همکاری تیم‌های امنیتی

معرفی Blue Team
معرفی Red Team
معرفی Purple Team
نقش Threat Hunting Team
نقش Incident Response Team
نقش Digital Forensics Team
تعامل بین تیم‌ها
هماهنگی عملیات امنیت
اشتراک اطلاعات امنیتی
مدیریت ارتباطات بین تیمی

فصل نهم | مدیریت Threat Intelligence در SOC

مفهوم Threat Intelligence
جمع‌آوری اطلاعات تهدید
اعتبارسنجی اطلاعات
تحلیل اطلاعات تهدید
اشتراک Threat Intelligence
یکپارچه‌سازی با SIEM
استفاده از IoCها
استفاده از TTPها
به‌روزرسانی پایگاه داده تهدیدات
نقش Threat Intelligence در بهبود SOC

فصل دهم | اتوماسیون و SOAR

مفهوم Security Automation
معرفی SOAR
ارتباط SIEM و SOAR
خودکارسازی فرآیندهای امنیتی
اجرای Playbookهای خودکار
Orchestration
مزایا و محدودیت‌های اتوماسیون
کاهش زمان پاسخگویی
بهبود بهره‌وری تحلیلگران
آینده اتوماسیون در SOC

فصل یازدهم | بهینه‌سازی قوانین و فرآیندهای تشخیص

بازبینی Detection Ruleها
تنظیم Correlation Ruleها
کاهش هشدارهای تکراری
افزایش دقت تشخیص
مدیریت Use Caseها
بررسی رفتار مهاجمان
تحلیل الگوهای حملات
بهبود کیفیت هشدارها
اعتبارسنجی قوانین
بهینه‌سازی مستمر SIEM

فصل دوازدهم | گزارش‌نویسی امنیتی

اصول گزارش‌نویسی حرفه‌ای
گزارش فنی
گزارش مدیریتی
گزارش Incident
گزارش وضعیت امنیت
گزارش روند تهدیدات
مستندسازی یافته‌ها
ارائه شاخص‌های عملکرد
تهیه گزارش‌های دوره‌ای
ارائه پیشنهادهای امنیتی

فصل سیزدهم | آموزش و توسعه مهارت تحلیلگران

برنامه‌ریزی آموزشی
آموزش‌های داخلی SOC
آموزش‌های عملی
شبیه‌سازی حملات
آزمایش‌های Tabletop
ارزیابی مهارت‌ها
برنامه توسعه فردی
مسیر پیشرفت شغلی
گواهینامه‌های معتبر امنیت
فرهنگ یادگیری مستمر

فصل چهاردهم | مدیریت کیفیت در SOC

مفهوم کیفیت خدمات امنیتی
تضمین کیفیت تحلیل‌ها
بازبینی Incidentها
ممیزی فرآیندها
کنترل کیفیت مستندات
مدیریت خطاها
تحلیل علل خطا
اقدامات اصلاحی
اقدامات پیشگیرانه
بهبود مستمر کیفیت

فصل پانزدهم | مدیریت ریسک و تداوم عملیات SOC

مدیریت ریسک عملیاتی
مدیریت بحران
برنامه تداوم کسب‌وکار (BCP)
برنامه بازیابی از بحران (DRP)
مدیریت خرابی تجهیزات
مدیریت ظرفیت
مدیریت دسترس‌پذیری
مدیریت تغییرات
ارزیابی ریسک‌های عملیاتی
افزایش تاب‌آوری SOC

فصل شانزدهم | آینده مراکز عملیات امنیت

تحول SOCهای مدرن
Next Generation SOC
هوش مصنوعی در SOC
یادگیری ماشین در تحلیل تهدیدات
XDR و نقش آن در SOC
MDR و خدمات امنیت مدیریت‌شده
Cloud SOC
SOC مبتنی بر Zero Trust
روندهای آینده امنیت سایبری
مهارت‌های موردنیاز تحلیلگران آینده

فصل هفدهم | سناریوهای عملی مدیریت SOC

مدیریت یک شیفت کاری
مدیریت رخدادهای هم‌زمان
مدیریت بحران امنیتی
هماهنگی بین تیم‌ها
تحلیل شاخص‌های عملکرد
بهینه‌سازی فرآیندها
بازبینی Incidentها
تهیه گزارش مدیریتی
تصمیم‌گیری مدیریتی
تحلیل مطالعات موردی (Case Study)

فصل هجدهم | پروژه نهایی و جمع‌بندی دوره

مرور تمامی مباحث دوره
طراحی فرآیند کامل SOC
اجرای سناریوی جامع از Alert تا Incident
تحلیل، مستندسازی و گزارش‌نویسی
ارزیابی عملکرد فراگیر
مرور اشتباهات رایج
بهترین شیوه‌های عملیاتی
معرفی منابع آموزشی پیشرفته
مسیر ادامه یادگیری (SOC Analyst Level 2، Threat Hunting، DFIR)
جمع‌بندی نهایی و آمادگی برای ورود به بازار کار

جمع‌بندی

در این دوره، شرکت‌کنندگان مهارت‌های شناسایی تهدیدات، تحلیل اولیه رخدادهای امنیتی و استفاده از ابزارهای SIEM و مانیتورینگ امنیتی را کسب می‌کنند. پس از اتمام دوره، افراد می‌توانند به‌عنوان تحلیلگر SOC سطح ۱ در تیم‌های امنیتی سازمان‌ها فعالیت کنند و اولین لایه دفاعی را در برابر حملات سایبری تشکیل دهند.

نقد و بررسی‌ها

نقد و بررسی وجود ندارد.

فقط مشتریانی که وارد سیستم شده اند و این محصول را خریداری کرده اند می توانند نظر بدهند.