Целевая аудитория

Специалисты, занимающиеся внедрением систем мониторинга, сбора и анализа событий, администраторы безопасности, системные администраторы, инженеры, ответственные за настройку процессов мониторинга и аудита информационной безопасности в организации.

Программа

  • RuSIEM

    • Что такое SIEM

    • Нормализация (поля таксономии)

    • Корреляция (основное)

    • Архитектура

    • Варианты установки

    • Системные требования

  • Установка

    • Откуда взять скрипт установки

    • Варианты установки (в скрипте)

    • Факторы при планировании

    • Лабораторные требования

    • Лабораторная работа № 1

    • Проверка выполнения

  • Источники

    • Подключение источников (способы подключение и т.д.)

    • Агент (архитектура, способы установки)

    • Стенд: просмотр событий; события syslog; вкладка «Источники»:

    • Модули агента

    • Удаленный сбор (УЗ для сбора; настройки модуля)

    • Модуль MS SQL Dr. Web

  • Поля событий

    • Определение

    • Стенд: Поля host и hostname

    • Язык запросов lucene

    • Группировка

    • Метки времени: @timestamp (проставляется lsinput) и event.time

    • Итог (презентация «Поля событий»)

    • Лабораторная работа № 2

  • Корреляция

    • Для чего нужна и как работает

    • Разбор правил корреляции

    • Начальная фильтрация

    • Группировка

    • Заполнение верхней части (название инцидента, категория и т.д.)

    • Описание операторов

    • Симптоматика в правилах

    • Работа со списками

    • Уведомление по правилу

    • Выполнение shell-команд

    • Содержимое события

    • Промежуточная аттестация (в формате устного опроса)

  • Учебный план на день

    • Разбор вопросов по итогам первого дня

    • Описание плана работ на второй день

    • Краткое повторение усвоенного материала

  • Парсеры и разбор работы frs_server

    • Схема работы frs_server

    • Фильтрация событий на уровне frs_server

  • Симптоматика и обогащение

    • Категоризация событий от разных вендоров (механизм симптоматики)

    • Задачи симптоматики (1 – категоризация событий; 2 – человека читаемое описание; 3 – вес события; 4 – пользовательские правила обогащения)

    • Разбор симптома

    • Группировка по симптомам (разбор события)

    • Лабораторная работа № 3

    • Проверка выполнения

  • Ролевая модель и мультитенантность

    • Описание ролей

    • Мультитенантность

  • Корреляция

    • Повторение материала по корреляции

    • Лабораторная работа № 4

    • Проверка выполнения

  • Внутренние журналы и диагностические события системы. Поиск и устранение неполадок

    • Логи микросервисов RuSIEM

    • Логи БД RuSIEM

  • Микросервисная архитектура

    • Типовые и кастомные схемы установки

    • База данных конфигураций микросервисов

    • Важные параметры конфигурации микросервисов

  • API

    • Типовые задачи, решаемые при помощи API

    • Создание учетной записи и токена для работы с API

    • Итоговая аттестация (в формате устного опроса)