Wierk - Wydział Informatyki, Elektroniczne Ramy Kwalifikacji

Karta Przedmiotu

Politechnika Białostocka									Wydział Informatyki
Kierunek studiów		Cyberbezpieczeństwo							Poziom i forma studiów				pierwszego stopnia stacjonarne
Grupa przedmiotów / specjalność									Profil kształcenia				ogólnoakademicki
Nazwa przedmiotu		Narzędzia analityki SOC							Kod przedmiotu				CYB1SOC
Nazwa przedmiotu		Narzędzia analityki SOC							Rodzaj zajęć				obowiązkowy
Formy zajęć i liczba godzin		W	Ć	L	P	Ps	T	S	Semestr				5
Formy zajęć i liczba godzin		30				30			Punkty ECTS				4
Program obowiązuje od											2026/2027
Przedmioty wprowadzające		Audyt systemów teleinformatycznych (CYB1AST), Bezpieczeństwo sieci komputerowych (CYB1BSK), Metody i narzędzia AI (CYB1MAI), Statystyka matematyczna (CYB1STM),
Cele przedmiotu		Przekazanie wiedzy z zakresu architektury i zasad działania Security Operations Center (SOC), metod monitorowania zdarzeń bezpieczeństwa oraz narzędzi analitycznych stosowanych w operacjach obronnych. Rozwój praktycznych umiejętności konfigurowania i obsługi systemów SIEM, korelacji zdarzeń, wykrywania anomalii oraz reagowania na alerty bezpieczeństwa. Kształtowanie gotowości do pracy w środowisku wysokiej presji operacyjnej, typowym dla dyżurów SOC i obsługi incydentów w czasie rzeczywistym. Odniesienia do frameworka edukacyjnego mikrokompetencji SFIA: Operacje bezpieczeństwa SCAD - poziom 3 Zarządzanie incydentami USUP - poziom 3
Ramowe treści programowe		Zasady organizacji i funkcjonowania Security Operations Center (SOC) w kontekście współczesnych zagrożeń cybernetycznych. Architektura systemów klasy SIEM – zbieranie, normalizacja i korelacja zdarzeń bezpieczeństwa z heterogenicznych źródeł. Metody analityki logów i detekcji anomalii, w tym zastosowania uczenia maszynowego w operacjach bezpieczeństwa. Procedury obsługi alertów, triage incydentów oraz eskalacji zgodnie ze standardami branżowymi. Narzędzia automatyzacji i orkiestracji reagowania na incydenty (SOAR). Threat intelligence jako element wspierający pracę analityka SOC – modele i frameworki operacyjne. Dashboardy i raportowanie operacyjne w SOC.
Inne informacje o przedmiocie		przedmiot ma związek z prowadzoną na Uczelni działalnością naukową
Inne informacje o przedmiocie		przedmiot kształtuje umiejętności praktyczne
Wyliczenie:		Nakład pracy studenta związany z:											Godzin ogółem	W tym kontaktowych	W tym praktycznych
		udziałem w wykładach											30	30
		udziałem w innych formach zajęć											30	30	30
		przygotowaniem do bieżących zajęć											25		25
		przygotowaniem do zaliczenia wykładu											15
										Razem godzin:			100	60	55
										Razem punktów ECTS:			4	2.4	2.2
Zakładane kierunkowe efekty uczenia się													Wiedza	Umiejętności	Kompetencje społeczne
													CYB1_W07	CYB1_U06	CYB1_K01
													CYB1_W08	CYB1_U09	CYB1_K03
													CYB1_W09	CYB1_U14
													CYB1_W11	CYB1_U19
Cele i treści ramowe sformułował(a)			dr inż. Andrzej Chmielewski										Data:		08/04/2026
Realizacja w roku akademickim								2028/2029
Treści programowe
		Wykład
		1.	Architektura i modele dojrzałości SOC – organizacja, tier model analityków, integracja z CSIRT/CERT
		2.	Systemy SIEM – architektura, zasady działania, kolekcja i normalizacja zdarzeń (syslog, CEF, JSON)
		3.	Korelacja zdarzeń i reguły detekcji – logika reguł, progi alertowania, fałszywe alarmy
		4.	Analityka logów – źródła danych: firewall, IDS/IPS, EDR, proxy, DNS, Active Directory
		5.	MITRE ATT&CK w praktyce SOC – mapowanie alertów na taktyki i techniki, coverage mapping
		6.	Threat Intelligence w SOC – IOC, TTP, platformy TI (MISP, OpenCTI), integracja z SIEM
		7.	Wykrywanie anomalii i User/Entity Behavior Analytics (UEBA)
		8.	Zarządzanie incydentami – triage, kategoryzacja, priorytety, procedury eskalacji
		9.	Automatyzacja i orkiestracja (SOAR) – playbooki, integracje, automatyczne reakcje
		10.	Threat Hunting – metodologie proaktywnego polowania na zagrożenia, hipotezy łowieckie
		11.	Raportowanie operacyjne i metryki SOC – KPI, SLA, dashboardy dla kierownictwa
		12.	SOC jako element ekosystemu bezpieczeństwa – współpraca z IR, Red Team, GRC
		13.	Regulacyjne i organizacyjne aspekty SOC – wymagania NIS2, ISO 27035, retencja logów
		14.	Przyszłość SOC – AI/ML w operacjach, extended detection & response (XDR), MDR
		15.	Zaliczenie wykładu
		Pracownia specjalistyczna
		1.	Instalacja i konfiguracja środowiska laboratoryjnego – wdrożenie SIEM (Wazuh lub Elastic Security) w środowisku wirtualnym
		2.	Onboarding źródeł danych – konfiguracja agentów, syslog, integracja z symulatorem zdarzeń
		3.	Tworzenie i testowanie reguł korelacji – alert dla wykrycia bruteforce na SSH/RDP
		4.	Analiza logów systemowych i sieciowych – identyfikacja anomalii w scenariuszu laboratoryjnym
		5.	Mapowanie alertów na MITRE ATT&CK – ćwiczenie z wykorzystaniem MITRE Navigator
		6.	Integracja Threat Intelligence – import feedów IOC (MISP), wzbogacanie alertów o kontekst TI
		7.	UEBA w praktyce – konfiguracja linii bazowej i wykrycie dewiacyjnego zachowania konta
		8.	Obsługa alertów – ćwiczenie triage: klasyfikacja, priorytetyzacja, dokumentowanie
		9.	Konfiguracja playbooku SOAR – automatyzacja odpowiedzi na alert phishing (blokada IP, powiadomienie)
		10.	Threat Hunting – przeprowadzenie polowania na podstawie hipotezy (lateral movement w sieci wewnętrznej)
		11.	Dashboardy SOC – budowa dashboard operacyjnego w Kibana/Grafana
		12.	Scenariusz "Day in the Life of SOC Analyst" – symulacja pełnej zmiany dyżurowej z zestawem incydentów
		13.	Analiza przypadku incydentu – odtworzenie ataku na podstawie logów, dokumentacja linii czasu
		14.	Analiza przypadku incydentu – odtworzenie ataku na podstawie logów, dokumentacja linii czasu
		15.	Prezentacja projektu końcowego: raport z symulowanego dyżuru SOC z rekomendacjami
Metody dydaktyczne (realizacja stacjonarna)
		W	wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną
		Ps	programowanie z użyciem komputera
Metody dydaktyczne (realizacja zdalna)
		W	wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną
		-
Forma zaliczenia
		W	zaliczenie pisemne
		Ps	ocena wykonanych zadań na podstawie zaprezentowanych wyników oraz sprawozdań, ocena projektu
Warunki zaliczenia
		W	Uzyskanie min. 30% punktów z każdego efektu uczenia się z zakresu wiedzy, a po spełnieniu tego warunku ostateczna ocena wynika z sumy uzyskanych punktów. Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0
		Ps	Minimalne wymagania odnośnie efektów uczenia się: E4, E5, E6, E7, E8 - realizacja projektu na na poziomie min. 50% punktów Ocena końcowa składa się z dwóch części: - część laboratoryjna: 9 sprawozdań po 2 pkt, - cześć projektowa - max. 10 pkt. + 20% za dokumentację (w sumie max. 12 pkt.) Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60)% punktów – 3.0 [60 – 70)% punktów – 3.5 [70 – 80)% punktów – 4.0 [80 – 90)% punktów – 4.5 [90 – 100]% punktów – 5.0
Symbol efektu		Zakładane efekty uczenia się											Odniesienie do efektów uczenia się zdefiniowanych dla kierunku studiów
Symbol efektu		Zakładane efekty uczenia się											Wiedza	Umiejętności	Kompetencje społeczne
	Wiedza: student zna i rozumie
E1		architekturę, komponenty i modele organizacyjne Security Operations Center oraz rolę systemów SIEM w ekosystemie bezpieczeństwa organizacji											CYB1_W07 CYB1_W09
E2		metody korelacji zdarzeń, detekcji anomalii i Threat Intelligence, w tym wybrane modele operacyjne											CYB1_W07 CYB1_W08
E3		zasady automatyzacji reagowania na incydenty (SOAR) oraz procedury triage i eskalacji zgodne ze standardami branżowymi											CYB1_W09 CYB1_W11
	Umiejętności: student potrafi
E4		skonfigurować system SIEM, zdefiniować reguły detekcji i analizować zdarzenia bezpieczeństwa z heterogenicznych źródeł danych												CYB1_U06
E5		przeprowadzić triage incydentów, udokumentować przebieg obsługi alertów oraz opracować raport operacyjny z dyżuru SOC												CYB1_U09 CYB1_U19
E6		zastosować metodologię Threat Hunting do proaktywnego wykrywania ukrytych zagrożeń w infrastrukturze sieciowej												CYB1_U14
	Kompetencje społeczne: student jest gotów do
E7		działania w warunkach presji czasu i niepełnej informacji, typowych dla operacyjnej obsługi incydentów bezpieczeństwa w SOC													CYB1_K03
E8		krytycznej oceny jakości własnych decyzji analitycznych oraz ciągłego doskonalenia warsztatu analityka SOC													CYB1_K01
Symbol efektu		Sposób weryfikacji efektu uczenia się										Forma zajęć na której zachodzi weryfikacja
E1		zaliczenie wykładu										W
E2		zaliczenie pisemne										W
E3		zaliczenie pisemne										W
E4		ocena sprawozdań, ocena projektu										Ps
E5		ocena sprawozdań, ocena projektu										Ps
E6		ocena sprawozdań, ocena projektu										Ps
E7		ocena sprawozdań, ocena projektu										Ps
E8		ocena sprawozdań, ocena projektu										Ps
Literatura podstawowa
		1.	Dokumentacja systemu Wazuh, dostęp online: https://wazuh.com
		2.	Dokumentacja systemu Elastic Security, dostęp online: https://www.elastic.co
		3.	Dokumentacja Mitre ATT&CK, dostęp online: https://attack.mitre.org
		4.	D. Nathans, B. Kelly, Designing and Building Security Operations Center, Chantilly: Elsevier Science & Technology Books, 2014
Literatura uzupełniająca
		1.	A. Basta, N. Basta, W. Anwar, M.I. Essar, Open‐Source Security Operations Center (SOC): A Complete Guide to Establishing, Managing, and Maintaining a Modern SOC, Wiley, 2024
		2.	J. Muniz, M. Frost, O. Santos, Modern Security Operations Center, Pearson Education, 2020
		3.	Dokumentacja systemu Splunk, dostęp online: https://docs.splunk.com/Documentation
Koordynator przedmiotu:		dr inż. Andrzej Chmielewski											Data:		08/04/2026