О курсеКак учимПрограммаКоманда курсаСтоимость
КомпаниямНачать учиться бесплатно
Аналитик SOC распознаёт и отражает киберугрозы
Такие навыки полезны самым разным IT‑специалистам
Независимо от того, планируете ли вы работать в центре мониторинга кибербезопасности после курса, — умение реагировать на инциденты будет востребовано
Курс подойдёт разработчикам, DevOps‑специалистам, сетевым инженерам, системным администраторам и тем, кто уже работает в кибербезопасности
Вот что нужно знать, чтобы проходить курс
  • Основы работы сетевых протоколов: DNS, HTTP, DHCP, SMB
  • Архитектуру операционных систем Windows и Linux
  • Архитектуру современных веб-приложений
  • Работу с командной строкой в операционных системах Windows и Linux
Пройдите бесплатный тест и узнайте, подойдёт ли вам курс
Пройти тест и начать учиться
Технологии и инструменты, которые вы освоите

SIEM
EDR
Elasticsearch
Logstash
Kibana
SOAR
NTA
Mitre ATT&CK
Kill Chain
Анализ логов
Расследование инцидентов
IPS/IDS
Сможете совмещать курс с работой и будете учиться на реальных атаках
Теория — доступным текстом, с иллюстрациями и схемами
Всё на нашей интерактивной платформе — сможете возвращаться к материалам и после курса
Параллельно — много практики на тренировочных стендах и 6 проектов
Ваши работы проверят эксперты, отметят все плюсы и минусы и подскажут, что можно улучшить
А ещё каждые 2 недели — воркшопы со специалистами центра мониторинга
Они станут вашими наставниками: ответят на вопросы и помогут разобраться со сложными темами
YandexGPT помогает учиться
Когда в теории что-то непонятно, нейросеть объяснит это другими словами. А в конце каждого урока подготовит краткий пересказ о самом главном.
Начать учиться бесплатно
Программу обновляем раз в полгода, чтобы вы учились только актуальному
Курс идёт 4 месяца, в среднем ему нужно уделять 10–15 часов в неделю
3 темы・1 неделя
Бесплатно
Введение в профессию
1 модуль — бесплатно, чтобы вы попробовали себя в роли аналитика SOC и поняли, хотите ли развиваться в этом направлении
  • SOC
  • SIEM
  • Мониторинг безопасности
  • Аналитика
  • Blue Team
  • Red Team
  • Киберугрозы
  • Информационная безопасность
Входной тест
Ответите на несколько вопросов, которые помогут понять, не будет ли программа слишком сложной для вас или, наоборот, простой.
Типичный рабочий день SOC‑аналитика
Разберётесь, как устроены будни аналитика SOC: от рутинных задач до реакции на атаку хакеров. Узнаете, как аналитики справляются с угрозами и какие задачи решают ежедневно. Рассмотрите реальные истории и примеры из практики.
Security Operations Center
Узнаете, как появились и развивались центры мониторинга безопасности. Разберёте основные роли в SOC и обязанности аналитиков L1–L3. Узнаете о карьерных перспективах и уровнях зарплаты. Рассмотрите ключевые софтскилы и поймёте разницу между Blue Team и Red Team.
Отраслевые специализации SOC
Поймёте, как SOC функционируют в различных отраслях: от финансов до промышленности. Узнаете, какие требования и особенности существуют в каждой сфере и как они влияют на задачи SOC‑аналитиков.
Пройдёте тест и решите, подойдёт ли вам курс. А ещё узнаете больше о работе аналитика SOC: о ключевых навыках, типичных задачах, карьерных возможностях
1
6 тем・1 проект・3 недели
Работа с событиями безопасности
  • Windows Logs
  • Sysmon
  • PowerShell
  • Active Directory
  • Linux Logs
  • Auditd
  • Web Server Logs
  • DNS
  • DHCP
  • Firewall Logs
  • IDS/IPS
  • NTA
  • NGFW
  • Log Analysis
  • Security Events
  • Network Traffic
  • Cybersecurity
  • Log Parsing
  • SIEM
Windows‑логи
Изучите основные типы журналов событий Windows, включая базовый и расширенный аудит, а также логи безопасности и Sysmon. Узнаете, как выявлять специфические атаки, связанные с ОС Windows, и поработаете с этими данными.
Windows‑логи в доменной инфраструктуре
Погрузитесь в анализ журналов доменной инфраструктуры Microsoft Active Directory, включая события аутентификации, контроллеров домена (DC), центра сертификации (CA) и протокола LDAP. Изучите методы выявления атак, специфичных для Active Directory.
Linux‑логи
Узнаете, как работать с базовыми логами Linux‑систем, включая аутентификацию, выполнение команд и использование системы Auditd. Научитесь анализировать логи аутентификации в Linux для выявления угроз безопасности.
Логи инфраструктурных сервисов
Разберётесь в логировании инфраструктурных сервисов, таких как DNS и DHCP. Узнаете, как правильно настраивать и анализировать логи этих сервисов для выявления проблем и угроз в сети.
Анализ сети
Изучите принципы работы файрволов, а также систем обнаружения и предотвращения вторжений (IDS/IPS), сетевого анализа трафика (NTA) и NGFW. Попробуете анализировать типы событий и трафика, фильтруемого файрволом.
Логи веб‑приложений
Рассмотрите логи различных веб‑серверов. Научитесь анализировать запросы и прикладные логи. Узнаете, как связаны логи веб‑приложений и операционных систем. Научитесь анализировать логи с помощью командной строки.
Воспроизведёте разные кибератаки, в том числе kerberoasting и DNS‑эксфильтрацию, и проанализируете логи. Проведёте эмуляцию сетевых атак с анализом сетевых событий
2
6 тем・1 проект・3 недели
Triage: работа с цепочками событий безопасности. Часть 1
  • SIEM
  • SOAR
  • IRP
  • CMDB
  • Triage
  • Incident Response
  • False Positive/Negative
  • Kill Chain
  • Mitre ATT&CK
  • Network Protection
  • Endpoint Protection
  • Security Events
  • Cybersecurity
  • Threat Modeling
Задачи L1/L2
Познакомитесь с основными обязанностями аналитиков SOC L1 и L2. Разберёте понятия события, инцидента, атаки. Научитесь работать с инцидентами, проводить triage и отличать ложные срабатывания.
Атаки
Узнаете про типы атак, кто их осуществляет, как строятся цепочки атак (TTP, Kill Chain). Научитесь использовать Mitre ATT&CK для моделирования угроз и анализа действий хакеров.
Защита от атак
Изучите классификации мер защиты, включая технические и организационные методы, детекцию и предотвращение атак на уровне сети и конечных устройств.
Жизненный цикл события
Поймёте, как событие становится инцидентом. Узнаете типы источников событий, их форматы. Разберётесь, как правильно реагировать на инциденты, минимизируя ложные срабатывания.
Инструментарий SOC L1/L2
Познакомитесь с основными инструментами SOC, включая SIEM, SOAR, CMDB. Научитесь использовать консоли средств защиты и базовые инструменты для ручного анализа.
Подробное знакомство с SIEM
Разберёте архитектуру SIEM. Научитесь собирать, парсить, агрегировать и обогащать данные. Освоите интерфейс SIEM для анализа событий и инцидентов.
Эмулируете кибератаки и примените SIEM. Проведёте triage событий, выявите ложные и реальные угрозы, предпримете меры по защите сети и конечных устройств
3
10 тем・1 проект・3 недели
Triage: работа с цепочками событий безопасности. Часть 2
  • SIEM
  • SOAR
  • Correlation Rules
  • Network Events
  • OSINT
  • Threat Intelligence
  • IPS/IDS
  • NetFlow
  • Authentication Events
  • Access Events
  • Email Security
  • Dashboards
  • Event Filtering
  • Incident Response
От события к инциденту
Научитесь фильтровать и группировать события, а также просматривать правила корреляции для превращения событий в инциденты.
Правила корреляции
Узнаете, как инциденты формируются на основе корреляции событий. Напишете собственное правило корреляции.
Принципы поиска событий
Овладеете методами поиска событий по уникальным идентификаторам, по нормализованным и ненормализованным данным, по сортировке и группировке, по атрибутам.
Дашборды
Изучите необходимость использования дашбордов для оперативного и аналитического мониторинга. Узнаете, как выбирать данные для их отображения.
Покрытие мониторингом
Узнаете, что такое покрытие мониторингом и какова его важность. Поймёте, как эффективно распределить ресурсы для контроля зоны покрытия.
Проверка объектов
Научитесь проверять репутацию IP, доменов, файлов и URL с помощью OSINT и Threat Intelligence.
Анализ сетевых событий
Освоите анализ сетевых событий файрволов, IPS/IDS, NTA и NetFlow для выявления атак.
Анализ событий аутентификации
Научитесь анализировать аутентификационные события в Windows, AD, Linux и веб‑приложениях и выявлять подозрительные действия.
Анализ событий доступа
Разберётесь в анализе событий доступа к сетевым ресурсам и объектам веб‑приложений и научитесь выявлять аномалии.
Анализ событий электронной почты
Изучите атрибуты писем, вложений и их безопасность. Научитесь оценивать вердикты защитных механизмов.
Отфильтруете и сгруппируете события, создадите правила корреляции и дашборды для мониторинга. Проверите репутацию объектов, проведёте анализ событий
4
5 тем・1 проект・3 недели
Реагирование на инциденты безопасности
  • SOC
  • SOAR
  • Incident Response
  • Playbook
  • IR Tools
  • Communication Channels
  • Escalation
  • Incident Handling
  • Root Cause Analysis
  • IT Coordination
  • Security Events
  • Manual Response
Возможности по реагированию
Изучите роль SOC в реагировании на инциденты, возможности аналитиков в рамках реагирования и разделение ответственности между SOC и IT.
Инструменты IR
Научитесь использовать SOAR для автоматизации реагирования. Освоите ручные методы, разберёте отчётность и принципы коммуникации при инцидентах.
Стандартные инциденты
Освоите работу по стандартным сценариям реагирования (playbook), автоматизацию действий, восстановление цепочки атаки и устранение причин инцидентов.
Нестандартные инциденты
Узнаете, как реагировать на инциденты, выходящие за рамки playbook. Скоординируете действия по сбору дополнительной информации и эскалации.
Коммуникации при реагировании
Изучите различные каналы и способы коммуникации при инцидентах, формирование оперативных команд реагирования и распределение зон ответственности.
Поработаете с playbook: будете реагировать на инциденты, автоматизировать действия с помощью SOAR и разбирать ошибки SOC. Потренируетесь координировать действия и работать в команде
5
9 тем・1 проект・3 недели
Расследование инцидентов безопасности
  • Threat Hunting
  • Sysmon
  • Auditd
  • eBPF
  • SIEM
  • NTA
  • IDS
  • WAF
  • Mitre ATT&CK
  • Timeline
  • Artifact Analysis
  • IR
  • TI
  • CERT
  • Incident Report
  • Firewall Logs
  • Linux Events
  • Windows Events
  • Host-Based Monitoring
Mitre для анализа техник и тактик
Узнаете, как выдвигать и проверять гипотезы с помощью Mitre ATT&CK и различных источников информации для анализа угроз.
Когда требуется расследование
Узнаете, в каких ситуациях необходимо начинать расследование инцидентов и какие данные требуется восстановить, особенно при отсутствии покрытия мониторингом.
Выбор точки старта расследования
Разберётесь, как определить начальную точку расследования, как взаимодействовать с участниками процесса, как учитывать ограничения и работать с правоохранительными органами.
Таймлайн расследования
Научитесь строить таймлайн расследования, визуализировать процесс и учитывать ключевые этапы, такие как мониторинг, IR и ликвидация инцидента.
Информация для расследования
Изучите методы анализа событий в SIEM, сбора артефактов с Windows и Linux и процесс передачи их для дальнейшего анализа.
Отчётность
Узнаете, как формировать отчёты для разных аудиторий, в том числе для CERT. Научитесь разрабатывать рекомендации по устранению причин инцидента.
Выдвинете и проверите гипотезы с помощью инструментов Threat Hunting и проведёте расследование инцидента. Построите таймлайн расследования, соберёте артефакты и подготовите отчёт
6
Самостоятельно・2 недели
Итоговый проект
Проведёте полное расследование сложного инцидента безопасности. Начнёте с идентификации инцидента: выдвинете и проверите гипотезы на основе сетевых и хостовых событий. Потом соберёте и проанализируете артефакты с систем Windows и Linux, построите таймлайн атаки, примените методы реагирования и ликвидируете угрозу. В конце подготовите отчёт для разных реципиентов и рекомендации по устранению причин инцидента.
7
С наставником・Каждые 2 недели
Воркшопы для разбора сложных тем и командной практики
Вас поддержат опытные аналитики SOC и команда Практикума
Наставники проведут воркшопы
Объяснят непонятные моменты и помогут, если будет трудно
Ревьюеры разберут практические работы
И дадут подробную обратную связь — с ней проще развиваться
Кураторы организуют комфортную среду
Напомнят о дедлайнах и воркшопах, выслушают и поддержат
Техподдержка устранит неполадки
К ней можно обращаться по техническим вопросам 24/7
Этот курс может оплатить
ваш работодатель
Полностью или разделив оплату с вами,
например 50/50 или 75/25
  • Расскажем всё про курс
  • Поделимся презентацией
  • Ответим на ваши вопросы
  • Подготовим договор и счёт
Отвечаем на вопросы
Каким требованиям нужно соответствовать?
Вот что нужно знать, чтобы проходить курс:
  • основы работы сетевых протоколов: DNS, HTTP, DHCP, SMB;
  • архитектуру операционных систем Windows и Linux;
  • архитектуру современных веб-приложений;
  • работу с командной строкой в операционных системах Windows и Linux.
На какой линии я смогу работать после курса?
На курсе вы подготовитесь к работе аналитика SOC 1 или 2 линии. То, на какую позицию вы сможете претендовать, зависит от вашего предыдущего опыта: если раньше вы не работали в информационной безопасности, начать сразу со 2 линии будет сложно.
Чем курс от Практикума лучше других?
  • Мы следим за трендами в кибербезопасности и регулярно обновляем материалы курса. За экспертизой обращаемся к опытным специалистам и коллегам из Яндекса.
  • Теория собрана в удобном формате: это краткие текстовые блоки с иллюстрациями и схемами — никаких давно записанных лекций.
  • Вы будете много практиковаться начиная с первых занятий. Вас ждут реальные кейсы и лабораторные задания, а ещё проектные работы, которые наполнят ваше портфолио.
  • Вас поддержат опытные аналитики SOC: наставники проведут воркшопы и помогут усвоить материал, а ревьюеры проверят ваши проекты. По организационным вопросам сможете обратиться к кураторам, а по техническим — к поддержке, которая на связи 24/7.
  • Курс можно совмещать с работой: программа разделена на спринты, чтобы вам было удобно планировать нагрузку. По расписанию — только воркшопы, раз в 2 недели, а заниматься на интерактивной платформе вы сможете в любое время.
Кто будет меня учить?
Все наставники — практикующие специалисты: сотрудники Яндекса и других крупных компаний. Программу составляют опытные преподаватели и методисты, а ещё действующие специалисты Яндекса, Школы анализа данных и других лидеров технологической и образовательной индустрий.
Что делать, если я не справлюсь с нагрузкой?
Если случилось непредвиденное или понадобилось уделить больше времени закреплению материала, напишите своему куратору. Он поможет перенести дедлайн сдачи проекта или перевестись в более поздний поток. На общую стоимость курса это не повлияет.
Если не понравится, я могу вернуть деньги?
Конечно. Если поток ещё не стартовал, вернём всю сумму. Если учёба уже началась, придётся оплатить прошедшие дни со старта вашего первого потока — но мы вернём деньги за остаток курса. Более подробно рассказываем об этом в 7 пункте оферты.
Получу ли я какой-то документ после курса?
Да, вы получите сертификат о переподготовке.
Как можно оплатить?
Банковской картой: внести всю сумму сразу или платить ежемесячно.

Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Обучение будет стоить меньше, если оплатить весь курс сразу.

Через компанию: юридические лица также могут оплатить обучение в Практикуме. Чтобы заказать счёт для оплаты, оставьте заявку на странице для корпоративных клиентов.
На каком языке проходит обучение?
Всё будет на русском: теория, практические задания и вебинары, а ещё чаты с куратором, наставником и другими студентами.

Давайте поможем

Напишите, как вас зовут и по какому номеру можно связываться — в течение 30 минут позвоним и расскажем всё про курсы

Или позвоните нам сами:

+7 (775) 020-45-15

А если не любите голосом — напишите: