SOC Operator & Incident Responder for CySA +

מכללת See Security הנה מכללה התמחותית למקצועות ניהול רשתות והגנת סייבר, אחת מ- 7 מכללות מסוגה בעולם ועוסקת בלעדית בתחום זה בכל זמנה, תוך שימוש במתודולוגית הדרכה שנבנתה עבור גורמים ממלכתיים. מנהל המכללה, מר אבי ויסמן, הנו ממובילי ענף הגנת סייבר בישראל, פרשן ויועץ מבוקש בערוצי השידור בישראל, יו”ר הפורום הלאומי לאבטחת מידע IFIS, וכן מנכ”ל משותף בפירמה לייעוץ הגנת סייבר See Consulting ובחברה להשמת כח אדם מקצועי בענף הסייבר – SeeHR.

המכללה נודעה בענף בזכות משמעת הלימודים שלה, הרמה הגבוהה של מרציה, וההתעקשות הפדגוגית והסיוע האישי הניתן לתלמידיה ולבוגריה. מנכ”ל המכללה הגדיר במהלך השנים 2006 עד 2011 את המבנה והתכנים למקצועות אבטחת המידע בישראל, כפי שהם מיושמים החל משנת 2017 באמצעות מטה הסייבר הלאומי והרשות הלאומית להגנת סייבר.

התכנית נבנתה לצרכי ידע מעשי: הכשרת אנשי מקצוע המתעתדים לאייש מוקדי ניטור ובקרה (SIEM/SOC) ו/או לשמש כצוותי תגובה ראשוניים לאירועי אבטחת מידע (Incident Response).

קורס אנליסטים זה מספק את מרבית התשתית התיאורטית הנדרשת מגורמי הניטור ואף את הניסיון המעשי בכלים השונים אותם גורמי הניטור נדרשים להכיר ולהפעיל.

היכולת תירכש מתוך היכרות עם הטכנולוגיות, הטכניקות , והוראות העבודה הנהוגות (Best Practice) בתחומים אלו, יכולת זו תוקנה לתלמיד בתכנית הלימודים בין השאר, באמצעות הרצאות, התנסויות ותרגול.

מכללת See Security נודעת כמכללה ברמה גבוהה מאוד, המנוהלת בעיקשות פדגוגית, תוך יצירת אוירת לימודים חברית ומשותפת. אנשי המקצוע, מנהלי מערכות מידע בישראל מכירים היטב את המכללה ואת דרישותיה מהתלמידים, וששים לקלוט אל שורותיהם בוגרים אשר סוננו, הוכשרו ונבחנו באמצעות מכללה זו.

• קורס אנליסטים עם חובת נוכחות ב-80% מהמפגשים.
• כל מודול נלמד מחייב עמידה במבחן פנימי ו/או בעבודות בציון 70 לפחות.
• בנושאים הטכניים: תרגול (Hands-on) בכיתה (מעבדת מחשבים)

משך התכנית, 100 שעות. הלימודים מתקיימים בקמפוס See Security ברמת-גן.

התוכנית נבנתה לצרכי ידע מעשי. לעומדים בדרישות התוכנית תוענק תעודה מטעם See-Security:
“מיישם מרכז בקרת סייבר מוסמך”
“Certified SOC Analyst”.

Introduction to Incident Response

פרק הפתיחה של הקורס. תוכן השיעור חושף את התלמידים לעולם הניטור והבקרה והתגובה לאירועי אבטחת מידע. הפתיח התיאורטי
יבסס את שלד ההתנהלות למול אירועי אבטחת מידע )בהתאם למתודולוגיה פורמאלית( תוך שימוש בנתוני אמת לצורך המחשה.

Definitions of “incident”

Incident handling (According to NIST)

Preparation; Detection and Analysis; Containment, Eradication and Recovery; Post Activity

Cyber Threats Categorization and Attack Vectors

הפרק עוסק בסקירת קטגוריות האיומים השונים וערוצי התקיפה המוכרים כיום. התלמידים יכירו את סוגי האיומים השונים עימם ארגונים
נאלצים להתמודד בשגרת היומיום. בנוסף, התלמידים ייחשפו למגוון ערוצי התקיפה אותם יידרשו להכיר ולזהות בעת מילוי תפקידם
בשגרה.
Definitions of 0day, vulnerability, exploits
Malware types
Threat Categories (Spoofing, DDOS, Social Engineering, Common Web Attacks)
Attack Vectors (Web, email, removable media, BYOD)

Network Architecture

במסגרת עבודתם השוטפת, תלמידים יידרשו להכיר את ארכיטקטורת הרשת של הארגון. מטרת הפרק הינה להציג לתלמידים
ארכיטקטורות מקובלות. בנוסף, הפרק יציג לתלמידים שירותים שונים שארגונים נדרשים להגן עליהם תוך ניטורם ובקרתם.
Basic Network Architectures
Enterprise IT Services
Basic Network Infrastructure (DNS, DHCP); Web Servers; DB Servers; Security Systems

Security Information and Event Management (SIEM)

עבודתו השגרתית של איש מערך SOC היא למול מערכות האיסוף, האגרגרציה והקורלציה אודות אירועי אבטחת מידע בארגון )קרי,
מערך ה-SIEM .)מטרת הפרק הינה לחשוף את התלמידים למערך ה-SIEM( תצורה, רכיבים, יישום ותפעול(.
SIEM Definitions and Features
SIEM Components and Architecture (Agents, Collectors, Archives)
SIEM Operations (Rules, Events, Incidents, Queries, Reports, Intelligence)
SIEM Implementation

Network Forensics

פרק זה פותח את השער המעשי בתחום בפני התלמידים בכך שהם נדרשים להכיר כלים טכניים ולהכיר את אופן השימוש שלהם
במסגרת התגובה לאירועים. מדובר בשני מפגשים הכוללים היכרות עם כלי ניתוח אירועים ברשתות תקשורת.
Introduction to Wireshark (elaboration of the OSI model) by emphasizing protocols from:
Application Layer; Transport Layer; Network; Link.
Network Artifacts Analysis (Trojan traffic, DDOS traffic and Exploit kits traffic)

Microsoft Windows Artifacts

לאחר שהתלמידים נחשפו להתנהלות הטכנית מול רשתות התקשורת והתעבורה בה, הם ייחשפו להתנהלות הטכנית מול מערכות
הפעלה. התלמידים יכירו את האובייקטים השונים במערכת ההפעלה Windows אותם הם נדרשים לחקור ולבחון במסגרת אירוע.
Introduction to Sys-Internals suite
Introduction to PSTools
Understanding Windows Artifacts (Registry Keys, Event Log, Prefetch, Pagefile, Filesystems)
Introduction to Browser Forensics

Introduction to Malware Analysis

הפרק מהווה מעין הקדמה ופתיח לתחום העצום של ניתוח נוזקות )Analysis Malware .)התלמידים יכרו פרקטיקות נהוגות בכל
הקשור להקמת תשתית חקירה וניתוח )מעבדת חקירות(. בנוסף, התלמידים ייחשפו בצורה בסיסית לניתוחים סטאטיים ודינאמיים של
נוזקות.
Introduction to Forensics Lab Construction and Accept Best Practices
Introduction to Basic Static and Dynamic Malware Analysis Methodologies
Introduction to Memory Forensics
בהמשך לחשיפת התלמידים לעולם ניתוח הנוזקות, הם ייחשפו גם לפעולות המקובלות בניתוח וחקירה של זיכרון המחשב. מכיוון
שמידע רב נשמר )ונשאר( בזיכרון המחשב, התלמידים יכירו את הפעולות שיש לבצע על מנת לשמר מידע בזיכרון )ובמילים אחרות –
ראיות לפעילות זדונית( ופעולות ניתוח בסיסיות
Introduction to Memory Dumping Tools
Basic Usage of Memory Analysis (Volatility)
Practical Simulations and Test Cases (ZEUS, Stuxnet)

Final Exercise and Simulation

בסיום הקורס יקבלו התלמידים הזדמנות ליישם את הידע התיאורטי והמעשי שרכשו וזאת במסגרת מפגש שלם המיוחד במלואו לתרגול
וסימולציה של אירועי אבטחת מידע. בתחילת המפגש התלמידים ייחשפו לחשד אודות אירוע אבטחת מידע מתגלגל והם יאלצו להגיב
לאירוע זה באמצעות הכלים ומתודולוגיה שלמדו.
Predefined Security Incident (Data Leakage, Malware Infection, etc.)
Summary