Szkolenie online, na żywo, z dostępem do nagrania na zawsze
Data szkolenia: 15 lipca 2026 roku – do wyboru dwa terminy:
-
I termin: godz. 10:00–11:30
-
II termin: godz. 19:00–20:30
Wykrycie zagrożenia to dopiero początek. Nawet najlepszy alert nie zatrzyma atakującego, jeżeli za jego wygenerowaniem nie pójdzie szybka i adekwatna reakcja.
Wazuh może nie tylko zbierać logi i wykrywać podejrzane zdarzenia. Dzięki mechanizmom Active Response, własnym skryptom oraz integracjom z zewnętrznymi systemami może również automatycznie blokować atakujących, izolować zagrożone urządzenia, zatrzymywać złośliwe procesy i przekazywać incydenty do dalszej obsługi.
Podczas szkolenia pokażemy dziesięć praktycznych sposobów reakcji na incydenty bezpieczeństwa. Zobaczysz zarówno proste akcje wykonywane na chronionym systemie, jak i bardziej rozbudowane scenariusze automatyzujące pracę zespołu SOC, zwłaszcza w świecie ustawy KSC2.
Bez teorii dla teorii – skupimy się na reakcjach, które można zastosować w rzeczywistym środowisku.

Czego dowiesz się podczas szkolenia?
Zyskasz wiedzę w następującym zakresie:
-
jak wykorzystać mechanizm Active Response do automatycznej reakcji na alerty,
-
jak blokować adresy IP atakujących na określony czas lub bezterminowo,
-
jak automatycznie blokować przejęte albo atakowane konta użytkowników,
-
jak ograniczyć komunikację sieciową zainfekowanego hosta,
-
jak reagować na wykrycie złośliwego pliku i przenosić go do kwarantanny,
-
jak identyfikować i zatrzymywać procesy wykorzystywane przez reverse shell,
-
jak automatycznie restartować usługę po wykryciu awarii albo nieautoryzowanej zmiany,
-
jak wysyłać powiadomienia o incydentach do zespołu SOC,
-
jak automatycznie tworzyć zgłoszenia w systemie serwisowym,
-
jak wzbogacać środowisko o nowe identyfikatory IOC,
-
jak zautomatyzować wstępny triage incydentu,
-
jak ograniczyć ryzyko wykonania nieprawidłowej lub zbyt agresywnej reakcji,
-
jak testować i monitorować skuteczność wykonanych akcji.
Co powinieneś wiedzieć przed szkoleniem?
Aby w pełni skorzystać ze szkolenia, warto mieć:
-
podstawową wiedzę na temat działania systemów Linux lub Windows,
-
ogólne rozeznanie w zakresie logów, alertów i incydentów bezpieczeństwa,
-
podstawową znajomość platformy Wazuh,
-
ogólną wiedzę dotyczącą adresów IP, procesów, usług systemowych i kont użytkowników.
Nie jest wymagana umiejętność programowania. Przykłady skryptów oraz sposób ich działania zostaną wyjaśnione podczas szkolenia.
Do kogo skierowane jest szkolenie?
Szkolenie przeznaczone jest przede wszystkim dla:
-
początkujących administratorów Wazuha,
-
administratorów systemów i sieci,
-
analityków SOC,
-
członków zespołów Blue Team,
-
specjalistów Incident Response i DFIR,
-
administratorów bezpieczeństwa IT,
-
osób wdrażających lub rozwijających system SIEM,
-
osób odpowiedzialnych za automatyzację reakcji na incydenty.
Agenda
Agenda obejmuje dziesięć praktycznych sposobów reakcji na incydenty bezpieczeństwa:
1. Blokowanie adresu IP atakującego
-
Automatyczna reakcja na wykrycie ataku,
-
Blokowanie adresu źródłowego na firewallu hosta,
-
Blokady czasowe i bezterminowe,
-
Obsługa ponownie pojawiających się atakujących,
-
Zabezpieczenie przed przypadkowym zablokowaniem zaufanych adresów.
2. Blokada konta użytkownika
-
Reakcja na ataki brute-force i password spraying,
-
Automatyczna blokada konta lokalnego,
-
Reakcja na podejrzane logowanie,
-
Różnice pomiędzy blokadą konta w systemie Linux, Windows i środowisku domenowym,
-
Bezpieczne warunki uruchamiania automatycznej blokady.
3. Izolacja hosta
-
Ograniczenie komunikacji sieciowej przejętego urządzenia,
-
Wykorzystanie lokalnych reguł firewalla,
-
Pozostawienie komunikacji niezbędnej do dalszej analizy,
-
Izolacja realizowana przy użyciu Active Response i zewnętrznych integracji,
-
Procedura przywracania hosta do normalnej pracy.
4. Kwarantanna złośliwego oprogramowania
-
Reakcja na wykrycie podejrzanego pliku,
-
Wykorzystanie danych z File Integrity Monitoring, YARA i systemów antywirusowych,
-
Przeniesienie pliku do bezpiecznej lokalizacji,
-
Zabezpieczenie materiału do dalszej analizy,
-
Usunięcie lub neutralizacja zagrożenia.
5. Ubijanie procesów reverse shell
-
Wykrywanie podejrzanych procesów i połączeń,
-
Identyfikacja procesu odpowiedzialnego za reverse shell,
-
Bezpieczne zatrzymanie procesu,
-
Zebranie informacji przed reakcją na incydent,
-
Ochrona przed automatycznym zatrzymaniem legalnej aplikacji.
6. Restartowanie usługi
-
Wykrywanie zatrzymania lub nieprawidłowego działania usługi,
-
Automatyczne przywrócenie usługi,
-
Reakcja na nieautoryzowaną zmianę konfiguracji,
-
Weryfikacja skuteczności restartu,
-
Eskalacja incydentu w przypadku kolejnej awarii.
7. Powiadomienia dla zespołu SOC
-
Dobór alertów wymagających natychmiastowej eskalacji,
-
Przesyłanie najważniejszych informacji o incydencie,
-
Powiadomienia e-mail, komunikatory i webhooki,
-
Ograniczanie szumu informacyjnego,
-
Przekazywanie kontekstu potrzebnego analitykowi.
8. Utworzenie zgłoszenia serwisowego
-
Automatyczne utworzenie zgłoszenia na podstawie alertu,
-
Przekazanie identyfikatora hosta, użytkownika i reguły Wazuha,
-
Dodanie fragmentów logów oraz informacji o podjętej reakcji,
-
Ustawienie priorytetu zgłoszenia,
-
Aktualizacja statusu incydentu.
9. Dodanie identyfikatorów IOC
-
Pozyskiwanie IOC z przeanalizowanych incydentów,
-
Dodawanie adresów IP, domen, skrótów plików i innych wskaźników,
-
Wykorzystanie list CDB oraz zewnętrznych źródeł Threat Intelligence,
-
Automatyczne wykrywanie IOC na pozostałych hostach,
-
Zarządzanie okresem ważności identyfikatorów.
10. Automatyczny triage incydentu
-
Zebranie informacji o hoście, użytkowniku i aktywnych procesach,
-
Sprawdzenie wcześniejszych alertów dotyczących tego samego zasobu,
-
Korelacja zdarzenia z posiadanymi IOC,
-
Automatyczne wzbogacenie incydentu o dodatkowy kontekst,
-
Przygotowanie wstępnego podsumowania dla analityka SOC,
-
Wybór dalszej ścieżki reakcji i eskalacji.
Oprócz tego w ramach szkolenia przewidziana jest sesja Q&A.
Co zawiera cena szkolenia?
W cenie szkolenia otrzymujesz:
-
dostęp do szkolenia online na żywo,
-
dostęp do nagrania ze szkolenia na zawsze,
-
możliwość zadawania pytań podczas sesji Q&A,
-
materiały i przykłady omawiane podczas szkolenia,
-
certyfikat ukończenia szkolenia w języku polskim i angielskim, zawierający punkty CPE – dla osób, które wybiorą bilet z certyfikatem.
Przydatne informacje
-
Szkolenie prowadzone jest w formie online, na żywo.
-
Czas trwania szkolenia wynosi około 90 minut.
-
Szkolenie odbędzie się 15 lipca 2026 roku.
-
Dostępne są dwie sesje: o godz. 10:00 oraz o godz. 19:00.
-
Obie sesje obejmują ten sam zakres materiału.
-
Do uczestnictwa wymagany jest komputer z dostępem do Internetu.
-
Nie jest wymagane instalowanie dodatkowego oprogramowania.
-
Uczestnicy otrzymają dostęp do nagrania ze szkolenia na zawsze.
O prowadzącym
Tomasz Turba
Konsultant do spraw bezpieczeństwa w firmie Securitum oraz jeden z niewielu oficjalnych Ambasadorów Wazuha w Polsce. W branży IT działa od 2006 roku, przeszedł przez wszystkie szczeble kariery. Autor kilkunastu innowacyjnych szkoleń o tematyce cyberbezpieczeństwa oraz wielokrotny laureat nagród za swoje publikacje. Współpracował z licznymi instytucjami jako konsultant do spraw zabezpieczeń, pentester i inspektor RODO. Ma duże doświadczenie jako szef zespołu SOC. Prelegent na wielu konferencjach związanych z ITsec, jak CONFIdence, WDI, Infoshare, ale przede wszystkim na Mega Sekurak Hacking Party i Sekurak Cyberstarter. Redaktor portalu sekurak.pl oraz współautor takich publikacji branżowych, jak Wprowadzenie do bezpieczeństwa IT (t. 1 i 2), a także współredaktor merytoryczny publikacji wydawanych przez Securitum Wydawnictwo. Aktywny trener, a zarazem organizator Sekurak.Academy oraz projektu SOS. Posiada certyfikaty branżowe takich instytucji, jak: EC-Council, Cisco Systems, Red Hat, AWS, Microsoft, NSA, CompTIA, TUV. Od 2025 roku oficjalny Ambasador Wazuh Inc. na Polskę.