KL 034.3.2 Kaspersky Unified Monitoring & Analysis Platform

Программа

• Модуль 1. Введение в SIEM

• Модуль 2. Архитектура и принципы работы KUMA

• Модуль 3. Установка

  • Варианты установки: all-in-one, распределенная, установка в режиме высокой доступности

  • Лабораторная работа 1. Установить Kaspersky Unified Monitoring and Analysis Platform

• Модуль 4. Сбор событий

  • Принцип работы коллектора, настройки подключения и коннектора, получение событий

  • Лабораторная работа 2. Настроить получение событий из Windows Event Log

  • Лабораторная работа 3. Настроить получение событий из журнала Windows DNS Analytic (факультативно)

  • Лабораторная работа 4. Настроить получение событий Linux (факультативно)

  • Лабораторная работа 5. Настроить получение событий Kaspersky Security Center

  • Лабораторная работа 6. Настроить получение событий KATA

• Модуль 5. Нормализация

  • Модель данных KUMA, настройки нормализатора, преобразование данных, дополнительны нормализаторы

• Модуль 6. Обработка событий коллектором

  • 6.1. Фильтрация

  • 6.2. Агрегация

  • 6.3. Обогащение

• Модуль 7. Интеграции

  • 7.1. Интеграция с Kaspersky Security Center и работа с активами

  • 7.2. Интеграция с LDAP и работа с учетными записями

  • 7.3. Интеграция с Kaspersky Threat Lookup

  • 7.4. Интеграция с Kaspersky CyberTrace

  • 7.5. Интеграция с Kaspersky Endpoint Detection and Response

  • Лабораторная работа 7. Настроить получение EDR-телеметрии из KATA

  • Лабораторная работа 8. Настроить обогащение событий данными из DNS

  • Лабораторная работа 9. Настроить обогащение событий данными по GeoIP

  • Лабораторная работа 10. Импортировать информацию о компьютерах из KSC

  • Лабораторная работа 11. Настроить обогащение событий с помощью Active Directory

  • Лабораторная работа 12. Настроить обогащение данными из CyberTrace

• Модуль 8. Работа с событиями

  • Лабораторная работа 13. Настроить «холодное» хранение событий в KUMA

• Модуль 9. Корреляция

  • Виды правил корреляции, переменные, активные списки и ретроспективный поиск

  • Лабораторная работа 14. Создать простое корреляционное правило

  • Лабораторная работа 15. Создать стандартное корреляционное правило

  • Лабораторная работа 16. Настроить алерт на события в определенном порядке

  • Лабораторная работа 17. Создать корреляционное правило с использованием локальной переменной

  • Лабораторная работа 18. Создать техническое корреляционное правило для наполнения активного списка

  • Лабораторная работа 19. Создать корреляционное правило с использованием активного списка

  • Лабораторная работа 20. Применить ретроспективный поиск

• Модуль 10. Работа с алертами

• Модуль 11. Реагирование

  • Реагирование задачей Kaspersky Security Center, реагирование запуском скрипта, реагирование задачей Kaspersky Endpoint Detection and Response

  • Лабораторная работа 21. Настроить реагирование запуском задачи Kaspersky Security Center

  • Лабораторная работа 22. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response

• Модуль 12. Отчетность

  • Панели мониторинга, отчеты, покрытие матрицы MITRE ATT&CK, метрики

  • Лабораторная работа 23. Изучить отчетность

  • Лабораторная работа 24. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (факультативно)

  • Лабораторная работа 25. Настройка Event router service (факультативно)

  • Лабораторная работа 26. Создание правила на основе функции вычисления энтропии (факультативно)

• Итоговая аттестация