Описание
Предварительные требования:
Базовые знания сетевых технологий;
Общее представление об информационной безопасности и построении защищенных корпоративных систем;
Базовое понимание архитектуры стека протоколов TCP/IP;
Практический опыт работы с операционными системами Windows и Linux;
Целевая аудитория

  • Администраторы безопасности
  • Администраторы корпоративных сетей
  • IT-специалисты, занимающиеся защитой информации.
  • Консультанты и инженеры, ответственные за реагирование на инциденты ИБ

Программа

  • Модуль 1. Назначение SIEM-системы

    • Упрощенное внедрение системы.

    • Компоненты системы, потоки данных.

    • Практическая работа 1. Установка системы, первичная настройка компонентов.

    • Модуль 2. Asset and vulnerability management

      • Метрики CVSSv2, CVSSv3.

      • Контекстные метрики.

      • БДУ ФСТЭК РФ.

      • Практическая работа 2. Задачи, профили, активы.

      • Часть 1. Обнаружение узлов в сети, журналы агента.

      • Часть 2. Группы активов.

      • Часть 3. Аудит Windows и Linux. 

      • Часть 4. Назначение контекстных метрик группам.

      • Часть 5. Топология.

      • Модуль 3. Пользователи и роли.

        • Пользователи и роли.

        • Практическая работа 3. Пользователи и роли, инфраструктуры.

        • Модуль 4. Сбор и работа с событиями

          • PDQL и таксономия события. 

          • Практическая работа 4. Сбор событий:

          • Часть 1. WinEventLog, WMInotification

          • Часть 2. File via SSH 

          • Часть 3. Checkpoint Gaia 80.10 (необязательная работа) 

          • Часть 4. Kaspersky Security Center (необязательная работа) 

          • Часть 5. Группировка событий 

          • В рамках самостоятельных заданий:

          • Сбор данных при помощи модуля FileMonitor SMB.

          • Работа с системой поиска событий при помощи языка запросов PDQL

          • Модуль 5. Корреляции

            • Обзор системных правил корреляции.

            • Практическая работа 5. Корреляции и генераторы

            • Практическая работа 6. Сбор событий по протоколу syslog

            • Модуль 6. Инциденты и доставка уведомлений

              • Инциденты и доставка уведомлений.

              • Практическая работа 7. Работа с инцидентами и почтовыми уведомлениями

              • Часть 1. Работа с автоматически созданным инцидентом.

              • Часть 2. Самостоятельное создание инцидента.

              • Модуль 7. Статистика и отчеты

                • Статистика и отчеты. 

                • Практическая работа 8. Статистика и отчеты 

                • Часть 1. Статистика

                • Часть 2. Построение отчетов

                • Модуль 8. Обзор документации

                  • Журналы и решение проблем. 

                  • Практическая работа 9. Решение проблем:

                  • Часть 1. Файлы журналов.

                  • Часть 2. Клиент к базе данных Elasticsearch.

                  • Итоговая аттестация