BLUE TEAM – Poziom 3: Detekcja, Reagowanie i Automatyzacja w SOC L1

Witaj na egzaminie sprawdzającym wiedzę z zakresu szkolenia “BLUE TEAM – Poziom 3: Detekcja, Reagowanie i Automatyzacja w SOC L1“, w tematykę którego wchodzą następujące zagadnienia:

Moduł 1: SIEM – Analiza logów i alertów

• Wprowadzenie do funkcji SIEM i jego architektury
• Rola SIEM w SOC L1.
• Źródła logów: Windows Event Logs, Sysmon, firewall.
• Ćwiczenia: analiza i korelacja zdarzeń z logów na przykładzie ataków.

Moduł 2: Frameworki detekcji – MITRE ATT&CK, Sigma, YARA

• Rola frameworków w detekcji zagrożeń.
• Łączenie frameworków w SOC L1.
• Proces detekcja zagrożeń.

Moduł 3: Eskalacja alertów i triage, Incident Response (IR)

• 5-punktowa checklista L1 do oceny alertu.
• Tworzenie raportu eskalacyjnego do L2/L3.
• Automatyzacja: auto-close, auto-escalate, tagging, playbooki.
• Etapy reagowania na incydent (wg NIST).
• Ćwiczenia: reakcja na incydent oraz dopasowanie reguł i tworzenie raportu

Moduł 4: SOAR – Automatyzacja reakcji

• Architektura SOAR (Shuffle): webhooki, playbooki, konektory.
• Scenariusze automatyzacji: phishing, ransomware, hash checking.
• Integracja z Elastic, VirusTotal, HybridAnalysis.

Moduł 5: Threat Intelligence – analiza IoC

• TI jako źródło kontekstu: hash, IP, domena, sandbox.
• Narzędzia: VirusTotal, OTX, HybridAnalysis, Any.Run, MISP.
• Korelacja IoC w SIEM (Indicator Match), feedy TI w SOAR.

Aby wziąć udział w egzaminie, najpierw musisz uczestniczyć w szkoleniu. Skontaktuj się w tej sprawie z Doradcami DAGMA Szkolenia IT, w celu rezerwacji miejsca na najbliższe szkolenie.

Zapraszamy do kontaktu pod bezpłatnym numerem telefonu: 800 080 332 lub za pomocą adresu e-mail: szkolenia@dagma.pl