I. Giới thiệu khóa học:

Khóa học cung cấp cho học viên các kiến thức tổng quan về Trung tâm vận hành an ninh an toàn thông tin (SOC) và cách vận hành SOC. Sau khi hoàn thành khóa học, học viên có thể nắm rõ mô hình tổ chức của SOC và nhận diện được các kiến thức, kĩ năng cần thiết cho mỗi vị trí trong SOC. Học viên sẽ được trang bị các kiến thức liên quan đến việc giám sát, cảnh báo, quản lý sự cố An toàn thông tin và cách thức ứng cố khi có sự cố xảy ra. Ngoài ra, học viên cũng được tham gia xây dựng các kịch bản, qui trình trong giám sát An toàn thông tin và thực hành triển khai giải pháp SIEM nguồn mở.

II. Thời lượng: 40 giờ (5 ngày)

III. Hình thức đào tạo:

Đào tạo trực tiếp tại lớp học, đào tạo online tương tác với giảng viên, đào tạo kết hợp online và trực tiếp tại lớp học, đào tạo tại văn phòng khách hàng theo yêu cầu

IV. Mục tiêu khóa học:

Sau khi hoàn thành khóa học, người học sẽ có được các kiến thức và kỹ năng sau:

• Quy trình và Công nghệ của SOC: Hiểu biết về quy trình, thủ tục, công nghệ và quy trình làm việc của Trung tâm Điều hành An ninh (SOC).
• Các Mối đe dọa và Tấn công An ninh: Hiểu biết cơ bản và sâu rộng về các mối đe dọa an ninh, tấn công, lỗ hổng, hành vi của kẻ tấn công.
• Phát hiện Tấn công: Nhận biết công cụ và chiến thuật của kẻ tấn công để xác định các dấu hiệu thỏa hiệp (IOC).
• Giám sát và Phân tích Nhật ký và Cảnh báo: Giám sát và phân tích nhật ký và cảnh báo từ các công nghệ khác nhau trên nhiều nền tảng.
• Quản lý Nhật ký Tập trung: Hiểu biết về quy trình quản lý nhật ký tập trung (CLM).
• Quản lý Sự kiện An ninh: Thực hiện thu thập, giám sát và phân tích sự kiện và nhật ký an ninh.
• Kiến thức về SIEM: Có kiến thức và kinh nghiệm về quản lý thông tin và sự kiện an ninh (SIEM) với các giải pháp như Splunk, AlienVault, OSSIM và ELK.
• Quản trị SIEM: Hiểu về kiến trúc, triển khai và tinh chỉnh các giải pháp SIEM.
• Giám sát Mối đe dọa: Lập kế hoạch, tổ chức và thực hiện giám sát và phân tích mối đe dọa trong doanh nghiệp.
• Xử lý Cảnh báo: Có kinh nghiệm trong quá trình xử lý cảnh báo và nâng cấp sự cố.
• Hệ thống Ticketing: Sử dụng hệ thống ticketing của bộ phận dịch vụ.
• Báo cáo: Chuẩn bị các bài báo cáo và phân tích phương pháp.
• Tích hợp Thông tin Mối đe dọa: Tích hợp thông tin mối đe dọa vào SIEM để nâng cao khả năng phát hiện và phản ứng sự cố.
• Phản ứng Sự cố: Hiểu biết về quy trình phản ứng sự cố và sự hợp tác giữa SOC và IRT (Đội phản ứng sự cố) để cải thiện phản ứng sự cố.
• Xây dựng được mô hình & triển khai hệ thống giám sát.
• Diễn tập phản ứng sự cố.

V. Đối tượng tham gia:

• Kỹ sư hệ thống, quản trị mạng.
• Kỹ sư an toàn thông tin

VI. Nội dung khóa học:

1. Quản lý và vận hành bảo mật thông tin

• Tìm hiểu các nguyên tắc cơ bản của hệ thống SOC
• Trình bày về các thành phần của SOC: Con người, Quy trình và Công nghệ
• Tìm hiểu cách triển khai hệ thống SOC

2. Trình bày các mối đe dọa mạng, IoC và phương pháp tấn công

• Trình bày các thuật ngữ về các mối đe dọa, và tấn công mạng
• Hiểu rõ các cuộc tấn công cấp độ mạng
• Hiểu rõ các cuộc tấn công ở cấp độ máy chủ
• Hiểu rõ các cuộc tấn công ở cấp độ ứng dụng
• Hiểu các chỉ số thỏa hiệp (IoCs)
• Thảo luận về phương pháp tấn công của tin tặc

3. Hiểu rõ các nguyên tắc cơ bản của Sự cố, Sự kiện và Ghi nhật ký

• Giải thích các khái niệm về ghi nhật ký cục bộ
• Giải thích các khái niệm về ghi nhật ký tập trung

4. Phát hiện sự cố với hệ thống giám sát quản lý sự kiện và thông tin bảo mật (SIEM)

• Giới thiệu hệ thống quản lý sự kiện và thông tin bảo mật (SIEM)
• Hiểu rõ các khái niệm cơ bản về bảo mật
• Thảo luận về các giải pháp SIEM khác nhau
• Tìm hiểu việc triển khai SIEM
• Tìm hiểu các ví dụ về trường hợp sử dụng khác nhau để phát hiện sự cố ở cấp độ ứng dụng
• Tìm hiểu các ví dụ về trường hợp sử dụng khác nhau để phát hiện sự cố nội bộ
• Tìm hiểu các ví dụ về trường hợp sử dụng khác nhau để phát hiện sự cố cấp mạng
• Tìm hiểu các ví dụ về trường hợp sử dụng khác nhau để phát hiện sự cố ở cấp độ máy chủ
• Tìm hiểu các ví dụ về trường hợp sử dụng khác nhau để đáp ứng tính tuân thủ.

5. Phát hiện sự cố nâng cao với thông tin về mối đe dọa

• Tìm hiểu các khái niệm cơ bản về thông tin mối đe dọa
• Tìm hiểu các loại thông tin về mối đe dọa khác nhau
• Hiểu cách phát triển chiến lược thông tin về mối đe dọa
• Tìm hiểu các thông tin về mối đe dọa khác nhau thu được từ các nguồn thông tin tình báo
• Tìm hiểu nền tảng thông tin mối đe dọa khác nhau Threat Intelligence Platform (TIP)
• Tìm hiểu nhu cầu về SOC dựa trên thông tin về mối đe dọa

6. Hiểu rõ các khái niệm cơ bản về ứng phó sự cố

• Tìm hiểu các giai đoạn khác nhau trong quá trình ứng phó sự cố
• Tìm hiểu cách ứng phó với sự cố an ninh mạng
• Tìm hiểu cách ứng phó với các sự cố bảo mật ứng dụng
• Tìm hiểu cách ứng phó với sự cố bảo mật email
• Tìm hiểu cách ứng phó với sự cố nội bộ
• Tìm hiểu cách ứng phó với sự cố phần mềm độc hại

7. Xây dựng mô hình và triển khai cài đặt hệ thống giám sát

• Cài đặt và cấu hình Suricata trên PfSense để phát hiện và phòng chống tấn công
• Cài đặt và cấu hình Logtash để giám sát VPN (Log Access VPN)
• Cài đặt và cấu hình Wazuh và Zabbix để giám sát hiệu năng máy chủ, CPU, RAM dung lượng ổ cứng theo thời gian thực
• Cài đặt và cấu hình hệ thông SOAR: The Hive và COrcex (hệ thống phản hồi tự động)
• Cài đặt và cấu hình các chức năng trong hệ thống giám sát: Malware Detection, Security Analytics, Intrusion Detection (IDS), Log Data Analysis, File Integrity Monitoring (FIM), Vulnerability Detection, Configuration Assessment, Ticket System
• Tìm hiểu cách ứng phó với sự cố phần mềm độc hại

8. Diễn tập về ứng phó sự cố

• Diễn tập kịch bản vận hành hệ thống giám sát và ứng cứu sự cố mã độc tấn công đánh cắp dữ liệu
• Diễn tập kịch bản vận hành hệ thống giám sát và ứng cứu sự cố tấn công hệ thống Web.