หลักการและเหตุผล
หลักสูตรศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (Security Operations Center: SOC) ถูกออกแบบมาโดยมุ่งเน้นการเสริมสร้างความรู้และศักยภาพของ ผู้ปฏิบัติงานหรือผู้ที่เกี่ยวข้องกับการเฝ้าระวังด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศได้เรียนรู้และฝึกปฏิบัติอย่างเข้มข้นในการจัดตั้งศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ การจัดทำรายงานต่าง ๆ จากการเฝ้าระวัง การวิเคราะห์ข้อมูลล็อกโดยใช้ซอฟต์แวร์เชิงพาณิชย์ และการจัดเก็บหลักฐานเหตุการณ์ด้านความมั่นคงปลอดภัย เพื่อตรวจสอบช่องทาง การเข้าถึงเครือข่าย และระบบสารสนเทศต่าง ๆ ที่ผิดปกติ เพื่อตอบสนองต่อเหตุการณ์และแก้ปัญหาการบุกรุกระบบอย่าง รวดเร็วและมีประสิทธิภาพ
คุณสมบัติของผู้เข้าอบรม
ปฏิบัติงานในศูนย์ปฏิบัติการป้องระวังความมั่นคงปลอดภัย (เช่น CERT NOC เป็นต้น), ผู้ดูแลระบบ, ผู้ดูแลเครือข่าย, ผู้จัดการด้านไอทีและผู้ปฏิบัติงานที่เกี่ยวข้องกับการเฝ้าระวังระบบและอุปกรณ์ต่าง ๆ ขององค์กร
ระยะเวลาการอบรม จำนวน 4 วัน
🗓วันจันทร์-พฤหัสบดี 15, 16, 17, 18 มีนาคม 2564
จำนวนผู้อบรม 20 ท่าน
วันที่ 1
| เวลา | เนื้อหา |
|---|---|
| 9.00-12.00 | ● Some Useful Attack Statistics ● What is SOC? ● Why do You Need a SOC? ● Key Objectives for SOC ● SOC Benefits ● SOC Standards and Process ● SOC Components (Core Components) |
| 12.00-13.00 | รับประทานอาหารกลางวัน |
| 13.00-16.00 | ● SOC Technologies ● SOC People ● SOC Management ● Types of SOC ● Planning for SOC ● SOC Structure, Roles and Responsibilities and Processes ● Workshop 1: กระบวนการ บทบาท และหน้าที่ความรับผิดชอบของ ผู้ปฏิบัติงานเฝ้าระวังด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ |
วันที่ 2
| เวลา | เนื้อหา |
|---|---|
| 9.00-12.00 | ● Procedure for Daily and Monthly Incident Handling Operations ● Incident management and systems ● Types of incidents ● Dashboard and reporting ● Shift handover |
| 12.00-13.00 | รับประทานอาหารกลางวัน |
| 13.00-16.00 | ● SIEM (Security Information and Event Management) ● Introduction to SIEM ● New Rule Determination ● Application Log Monitoring ● System and Device Log Monitoring ● Object Access Auditing ● User Activity Monitoring ● Real-time Alerting ● Log Analysis ● Event Correlation ● Log Retentionการจำลองสถานการณ์การโจมตีในรูปแบบต่างๆ เช่น SQL Injection, Cross-site Scripting (XSS), Brute Force เป็นต้น ● Workshop 2: การจำลองสถานการณ์การโจมตีในรูปแบบต่างๆ Demo ทดสอบการโจมตีระบบเพื่อให้เห็นถึงความสำคัญของ การโจมตีและการใช้ SIEM เพื่อป้องกันการบุกรุกระบบการติดตั้ง Agent สำหรับการบันทึกข้อมูลล็อกต่างๆ การอ่านและค้นหาข้อมูลในล็อก ● Workshop 3: การติดตั้ง Agent การอ่านและค้นหาข้อมูลในล็อก ● การติดตั้ง Agent Log บน Windows ● การติดตั้ง Agent Log บน Linux ● การติดตั้ง Agent Log บน Apache Server ● การติดตั้ง Agent Log บน IIS Server ● การอ่านและค้นหาข้อมูลในล็อกเบื้องต้น |
วันที่ 3
| เวลา | เนื้อหา |
|---|---|
| 9.00-12.00 | การกำหนดกฎเกณฑ์ (Correlation Rules) ที่ใช้ในการวิเคราะห์ข้อมูลล็อก ● Workshop 4: การกำหนดกฎเกณฑ์ต่างๆการใช้ SIEM เพื่อวิเคราะห์ความสอดคล้องกับมาตรฐาน ISO/IEC 27001 (IT Compliance) ● Workshop 5: การใช้ SIEM เพื่อวิเคราะห์ความสอดคล้องกับนโยบายและขั้นตอนปฏิบัติที่กำหนดไว้การใช้ฟังก์ชั่นต่างๆ ใน SIEM ที่เป็นประโยชน์ ● ฟังก์ชัน File Integrity Checkers เพื่อตรวจสอบการเปลี่ยนแปลงแก้ไขข้อมูลโดยไม่ได้รับอนุญาต ● ฟังก์ชัน Network and System Monitoring เพื่อติดตามความพร้อมใช้ของระบบเครือข่ายและเซิร์ฟเวอร์ให้บริการต่างๆ |
| 12.00-13.00 | รับประทานอาหารกลางวัน |
| 13.00-16.00 | การจัดทำรายงานประเภทต่างๆ ที่เกี่ยวข้องกับเหตุการณ์ด้านความมั่นคง ปลอดภัย ได้แก่ การแจ้งเตือนประเภทต่างๆ (Alert) และรายงานประเภท สถิติต่างๆ (Dashboard) ที่จำเป็นต่อการใช้งาน ● Workshop 6: การจัดทำรายงานประเภทต่างๆ ● การสร้างการแจ้งเตือน (Alert) บน SIEM ● การสร้างหน้ารายงาน (Dashboard) บน SIEM |
วันที่ 4
| เวลา | เนื้อหา |
|---|---|
| 9.00-12.00 | ● Related Laws and Compliance ● Log Forensics ● Forensic Toolsการจัดเก็บข้อมูลหลักฐานด้านคอมพิวเตอร์ ● Workshop 7: การใช้เครื่องมือในการจัดเก็บข้อมูลหลักฐานด้านคอมพิว เตอร์ |
| 12.00-13.00 | รับประทานอาหารกลางวัน |
| 13.00-16.00 | ● VA Techniques ● Vulnerability Assessmentการใช้เครื่องมือในการวิเคราะห์หาช่องโหว่ในระบบ ● Workshop 8: การใช้ Nessus ในการวิเคราะห์หาช่องโหว่ในระบบ |
หมายเหตุ : เนื้อหาอาจมีการปรับเปลี่ยนแก้ไขตามความเหมาะสม
