Windows Event Log Analysis

MC-10 · Мини-курс

Sysmon, Windows Security Log, KQL запросы и обнаружение атак через логи. Ключевые Event IDs для SOC.

12 уроков3 модуляСреднийSysmon + KQL

Начать обучение ← Все курсы

PowerShell — Event Log query

PS> Get-WinEvent -FilterHashtable @{

LogName='Security'; Id=4625

} | Group-Object -Property

Message | Sort Count -Desc

Count Name

847 DESKTOP-CORP from 192.168.1.105

234 FILESERVER from 10.0.0.23

PS> █

+120 XP

Почему это важно прямо сейчас

Логи Windows — главная улика в расследовании

197 днейсреднее время необнаруженного взлома

45%атак оставляют следы только в Event Logs

3xSysmon снижает время детекции

4624/4625самые важные Event IDs безопасности

После курса вы сможете

Не абстрактные знания — конкретные навыки для детекции и расследований

📋Настроишь Sysmon с правилами для максимальной видимости

🔍Определишь ключевые Event IDs для обнаружения атак

💻Обнаружишь Pass-the-Hash и Lateral Movement по логам

📊Напишешь KQL-запросы в Microsoft Sentinel

🎯Построишь гипотезы для Threat Hunting на основе MITRE ATT&CK

⚡Включишь расширенное PowerShell логирование

🕵️Проведёшь ретроспективное расследование инцидента по логам

📝Составишь отчёт об инциденте на основе Windows артефактов

Реальные атаки в курсе

Каждый урок построен на реальных инцидентах — не выдуманных примерах

APT2016

APT29 Cozy Bear — обнаружены через Event Logs

Атаки на DNC были обнаружены через аномалии в Windows Event Logs — нетипичные паттерны аутентификации и необычные процессы в Sysmon Event 1.

Модуль 03 · Hunting в логах

Вирус2017

WannaCry — Event 7045 как предвестник

Установка вредоносного сервиса WannaCry генерировала Event ID 7045. Организации с правильными алертами на этот Event ID успели остановить распространение.

Модуль 02 · Ключевые события

SOC победа2023

Брутфорс раскрыт за 2 минуты

SOC-аналитик заметил спайк Event 4625 (неудачных входов) через алерт в Sentinel. Атака с 847 попытками была заблокирована через 2 минуты после начала.

Модуль 02 · Event 4624/4625

Программа курса

3 модуля · 12 уроков: Sysmon, Event IDs и Threat Hunting с KQL

Куда ведёт этот курс

Windows Event Log Analysis — фундамент для Threat Hunter и DFIR специалиста

$2 500 — $5 000 / мес

SOC-аналитик L2/L3

Анализируешь сложные инциденты через Windows Event Logs, расследуешь APT-активность, проводишь ретроспективный анализ.

SysmonEvent IDsKQLSentinel

Трек:FC-07 → MC-10 → MC-11

$3 500 — $8 000 / мес

Threat Hunter

Проактивно ищешь угрозы в Windows логах через гипотезы MITRE ATT&CK. Находишь то, что автоматические системы пропустили.

Threat HuntingMITRE ATT&CKKQLSysmon

Трек:FC-07 → MC-10 → MC-09

$4 000 — $9 000 / мес

DFIR специалист

Расследуешь инциденты, восстанавливаешь хронологию атаки по Windows артефактам, готовишь доказательства для юридических дел.

Windows ForensicsTimeline AnalysisEvent LogsDFIR

Трек:FC-07 → MC-10 → MC-11 → MC-12

Для кого этот курс

🔵

SOC-аналитики L1/L2

Хотите перейти на следующий уровень — от простых алертов к глубокому анализу Windows артефактов.

🕵️

Threat Hunters

Нужны навыки работы с Event Logs для построения гипотез и проактивного поиска угроз в инфраструктуре.

🔍

DFIR специалисты

Занимаетесь расследованием инцидентов и хотите систематизировать работу с Windows Event Logs.

Читай Windows логи
как профессионал
уже сегодня

12 уроков, Sysmon, KQL и реальный Threat Hunting. Обнаруживай атаки раньше, чем они нанесут ущерб.

Начать обучение ← Все курсы

MC-10● Мини-курс

Уровень: средний

12 уроков

видео + практика

3 модуля

по темам

Средний

уровень сложности

Sysmon + KQL

основные инструменты

Sysmon настройка и конфигурация

Ключевые Event IDs 4624-4688

KQL в Microsoft Sentinel

Обнаружение Pass-the-Hash и Lateral Movement