PowerShell dla Zespołów SOC | Warsztaty Eksperckie 2026
Intensywny Warsztat Operacyjny · 2 Dni · Edycja 2026

PowerShell dla Zespołów SOC Odróżnij administrację od ataku — raz na zawsze

Twój SIEM tonie w fałszywych alertach. Analitycy tracą czas na rutynowe skrypty admina, podczas gdy prawdziwy atak prześlizguje się przez luki. Ten warsztat to koniec z tym.

Zarezerwuj Miejsce Zobacz Program
2 Dni szkolenia
8 Modułów
100% Hands-on
EventID: 4104 // ScriptBlock Logging
# PRZYPADEK 1: Admin czy atak?   PS> Get-ADUser -Filter * | Export-Csv [?] FALSE POSITIVE – Rutynowy backup AD   # PRZYPADEK 2: Living-off-the-Land   PS> IEX(New-Object Net.WebClient) .DownloadString($url) [!] ALERT – T1059.001 + T1105 [!] In-memory execution detected   # PRZYPADEK 3: Obfuskacja   PS> -EncodedCommand SQBFAFgAKA… [!] KRYTYCZNY – T1027   [✓] Nauczysz się to rozróżniać
Script Block Logging MITRE ATT&CK Splunk · Sentinel · Elastic T1059.001 In-Memory Execution EncodedCommand Download Cradles Event ID 4103/4104 Detection Engineering QRadar · Wazuh Living-off-the-Land Script Block Logging MITRE ATT&CK Splunk · Sentinel · Elastic T1059.001 In-Memory Execution EncodedCommand Download Cradles Event ID 4103/4104 Detection Engineering QRadar · Wazuh Living-off-the-Land
Problem, który znasz aż za dobrze

Dlaczego Twój SOC
traci wojnę z PowerShell?

🌊

Alert Fatigue zabija czujność

Setki alertów dziennie, z czego 80% to legalna administracja. Analitycy uczą się je ignorować – i przeoczają ten jeden, który ma znaczenie.

🎭

Obfuskacja jest niewidoczna gołym okiem

EncodedCommand, string concatenation, character replacement – atakujący mają dziesiątki technik ukrywania intencji. Czy Twój zespół je wszystkie zna?

⏱️

MTTD rośnie, MTTR też

Brak kontekstu (kto? skąd? z jakim procesem nadrzędnym?) sprawia, że klasyfikacja jednego incydentu zajmuje godziny zamiast minut.

🧱

Reguły SIEM nie nadążają

Kopiowane ze Stack Overflow reguły generują lawinę false positives. Bez zrozumienia mechanizmów, nie można pisać skutecznych detections.

Dlaczego ten warsztat

To nie jest kolejny
kurs z YouTube

Redukcja szumu

Mniej false positives.
Więcej prawdziwych alertów.

Uczymy filtrować szum administracyjny na poziomie kontekstu, nie tylko komendy. Po 2 dniach Twój zespół wie, czego szukać — i czego nie alarmować.

Operacyjne

Realne datasety.
Realne ataki.

Żadnych wymyślonych scenariuszy. Uczestnicy analizują logi z autentycznych incydentów — ataków ransomware, APT, red team exercises.

MITRE ATT&CK

Każda technika.
Pełne mapowanie.

T1059.001, T1027, T1105 — każda omawiana technika jest mapowana na framework MITRE, co przekłada się bezpośrednio na lepsze raporty i strategie obronne.

Detection Engineering

Wychodzisz z gotowymi
regułami do SIEM.

Nie tylko wiedza — praktyczne reguły alertowania dla Splunk, Sentinel, Elastic i Wazuh, które możesz wdrożyć następnego dnia po powrocie do pracy.

Szczegółowy program

2 Dni.
8 Modułów. Zero Bullshitu.

01 // 09:00–10:30

Ekosystem PowerShell

Dlaczego PS jest kluczowym narzędziem atakujących? Windows PowerShell vs. PS Core, execution policy bypassy, środowisko wykonawcze.

LoLBins Fundamentals
02 // 10:45–12:30

Telemetria i Konfiguracja

Script Block Logging, Module Logging, Transcription. Event ID 4103 vs 4104 — różnice, co rejestrują i jak nie dać się ominąć.

EventID 4103 / 4104
03 // 13:30–15:00

Wzorce Administracyjne

Jak wygląda „normalne” zarządzanie AD, usługami i politykami GPO? Budowanie baseline’u — fundamentu dla każdej detekcji.

Baseline & Context
LAB // 15:15–17:00

Laboratorium #1

Analiza zestawu logów — oddzielenie administracji od podejrzanej aktywności. Praca na autentycznym datasecie z środowisk korporacyjnych.

Hands-on Dataset A
04 // 09:00–10:30

Techniki Atakujących

EncodedCommand, download cradles, in-memory execution. Jak działają obejścia AMSI i jak je wykryć w logach.

T1059.001 · T1027 · T1105
05 // 10:45–12:00

Analiza Kontekstu

Kto uruchomił skrypt? Skąd? Jaki proces nadrzędny? Metodyka analizy kontekstu, która skraca MTTD o 60%.

Parent Process · User Context
06 // 13:00–14:30

MITRE ATT&CK Mapping

Praktyczne mapowanie obserwowanej aktywności na macierz MITRE. Budowanie threat intel i jakość raportowania incydentów.

T1059 · T1027 · TA0002
07–08 // 14:45–17:00

Detection Engineering

Pisanie skutecznych reguł SIEM: Splunk SPL, KQL (Sentinel), Elastic EQL. Unikanie false positives przez precyzyjne warunki i wyjątki.

SPL · KQL · EQL · Sigma
Twoi instruktorzy

Uczą praktycy.
Nie akademicy.

AP
PowerShell Expert · Moduły 1–4
Adam
Pietrzak

Ponad dekada w środowiskach Windows Enterprise. Specjalizuje się w analizie złośliwej aktywności PowerShell, tworzeniu narzędzi do ofensywnych testów bezpieczeństwa oraz budowaniu systemów detekcji. Prowadził analizę incydentów dla instytucji finansowych i sektora energetycznego.

PowerShell Internals Malware Analysis Red Teaming Windows AD
MK
Security Engineer · Moduły 5–8
Marek
Kamiński

Security Engineer z doświadczeniem w budowaniu i optymalizacji platform SIEM dla organizacji z listy Fortune 500. Ekspert od detection engineering, tworzenia reguł korelacji i threat hunting. Certyfikowany w Splunk, Microsoft Sentinel i Elastic Security.

Splunk · Sentinel Elastic Security Threat Hunting Detection Engineering
Dla kogo

Warsztat stworzony
dla konkretnych ról

🔍

Analitycy SOC L1/L2

Codziennie zmagasz się z PowerShell alerts. Po warsztacie klasyfikujesz je w minuty, nie godziny.

⚙️

Inżynierowie SIEM

Splunk, Sentinel, Elastic, QRadar, Wazuh — wychodzisz z gotowymi regułami i metodologią ich pisania.

🎯

Threat Detection / CSIRT

Zrozum pełny łańcuch — od techniki atakującego po sygnaturę w SIEM. Buduj lepsze playbooki.

Wymagania wstępne

Podstawowa znajomość środowiska Windows i logów bezpieczeństwa. Warsztat nie wymaga zaawansowanej wiedzy o PowerShell — ta przyjdzie w trakcie 2 dni.

Co zyskujesz

Konkretne wyniki.
Mierzalne zmiany.

01

Gotowe reguły detekcji

Zestaw production-ready reguł dla Splunk, Sentinel, Elastic i Wazuh. Wdrażasz następnego dnia.

02

Dataset logów + workbook

Pełny materiał ćwiczeniowy z realnymi atakami do dalszej analizy i szkolenia własnych zespołów.

03

Metodyka analizy kontekstu

Ustrukturyzowany framework do szybkiej klasyfikacji podejrzanej aktywności PowerShell.

04

MITRE ATT&CK cheat sheet

Gotowe mapowanie technik PowerShell na macierz MITRE — dla raportów i komunikacji z zarządem.

Redukcja False Positives ↓ 60%
Skrócenie MTTD ↓ 45%
Szybkość klasyfikacji incydentów ↑ 3x
Czas wdrożenia reguł SIEM D+1
Obsługiwane platformy SIEM
Splunk Microsoft Sentinel Elastic QRadar Wazuh
Materiały

Co dostajesz w pakiecie

📓

Workbook PDF

Kompleksowy materiał szkoleniowy z notesem do ćwiczeń, referencjami i cheat sheets gotowymi do wydruku.

🗄️

Dataset logów

Autentyczne logi z realnych incydentów — ransomware, APT, red team. Gotowe do załadowania do własnego SIEM.

Zestaw reguł detekcji

Production-ready reguły dla 5 platform SIEM. SPL, KQL, EQL i format Sigma — gotowe do wdrożenia.

🗺️

MITRE Mapping

Pełne mapowanie technik PowerShell na ATT&CK Navigator. Gotowe do importu i prezentacji dla stakeholderów.

🏅

Certyfikat ukończenia

Personalny certyfikat potwierdzający udział w warsztacie dla każdego uczestnika. Idealne do profilu LinkedIn.

🔄

30 dni wsparcia post-szkoleniowego

Dostęp do kanału Slack z trenerami przez miesiąc po warsztacie. Pytaj o realne incydenty ze swojego środowiska.

Logistyka i inwestycja

Formuła zamknięta.
Dostosowana do Twojego zespołu.

// Opcja A
Warsztat 1-dniowy
Wersja intensywna · 8h
  • Moduły 1–4 + Lab #1
  • Fundamenty telemetrii i techniki atakujących
  • Dataset logów + workbook
  • Zestaw reguł detekcji (basic)
  • Certyfikaty uczestnictwa
  • 14 dni wsparcia online
  • Formuła: stacjonarna lub online (zamknięta)
Zapytaj o wycenę →
// Opcja B
Warsztat 2-dniowy
Wersja zaawansowana · 16h
  • Pełne 8 modułów + 2 Labs
  • Kompleksowy program od telemetrii do detection engineering
  • Pełny dataset + workbook premium
  • Kompletny zestaw reguł SIEM (5 platform)
  • MITRE ATT&CK Navigator export
  • Certyfikaty uczestnictwa
  • 30 dni wsparcia Slack z trenerami
  • Formuła: stacjonarna lub online (zamknięta)
Zarezerwuj dla Zespołu →
💡
Szkolenie wewnętrzne (in-house)

Prowadzimy warsztaty bezpośrednio dla Twojego zespołu — w Waszej siedzibie lub zdalnie. Program możemy dostosować do specyfiki Waszego środowiska technicznego i aktualnych wyzwań. Skontaktuj się po indywidualną wycenę.

Gotowy na zmianę?

Zatrzymaj następny atak.
Zanim to zrobi SOC obok.

Warsztat jest prowadzony w formule zamkniętej. Liczba miejsc ograniczona do zapewnienia najwyższej jakości hands-on experience.

Email kontakt@warsztat-soc.pl
Format Zamknięty / In-house
Dostępność Cały rok · PL i EN
© 2026 PowerShell SOC Workshop · Adam Pietrzak & Marek Kamiński
Framework: MITRE ATT&CK Techniki: T1059.001 · T1027 · T1105