Описание
Предварительные требования:
Базовые знания сетевых технологий;
Общее представление об информационной безопасности и построении защищенных корпоративных систем;
Базовое понимание архитектуры стека протоколов TCP/IP;
Практический опыт работы с операционными системами Windows и Linux;
Целевая аудитория

  • Администраторы безопасности
  • Администраторы корпоративных сетей
  • IT-специалисты, занимающиеся защитой информации.
  • Консультанты и инженеры, ответственные за реагирование на инциденты ИБ

Программа

  • Модуль 1. Назначение SIEM-системы

    • Упрощенное внедрение системы.

    • Компоненты системы, потоки данных.

    • Практическая работа 1. Установка системы, первичная настройка компонентов.

  • Модуль 2. Asset and vulnerability management

    • Метрики CVSSv2, CVSSv3.

    • Контекстные метрики.

    • БДУ ФСТЭК РФ.

    • Практическая работа 2. Задачи, профили, активы.

    • Часть 1. Обнаружение узлов в сети, журналы агента.

    • Часть 2. Группы активов.

    • Часть 3. Аудит Windows и Linux.

    • Часть 4. Назначение контекстных метрик группам.

    • Часть 5. Топология.

  • Модуль 3. Пользователи и роли.

    • Пользователи и роли.

    • Практическая работа 3. Пользователи и роли, инфраструктуры.

  • Модуль 4. Сбор и работа с событиями

    • PDQL и таксономия события.

    • Практическая работа 4. Сбор событий:

    • Часть 1. WinEventLog, WMInotification

    • Часть 2. File via SSH

    • Часть 3. Checkpoint Gaia 80.10 (необязательная работа)

    • Часть 4. Kaspersky Security Center (необязательная работа)

    • Часть 5. Группировка событий

    • В рамках самостоятельных заданий:

    • Сбор данных при помощи модуля FileMonitor SMB.

    • Работа с системой поиска событий при помощи языка запросов PDQL

  • Модуль 5. Корреляции

    • Обзор системных правил корреляции.

    • Практическая работа 5. Корреляции и генераторы

    • Практическая работа 6. Сбор событий по протоколу syslog

  • Модуль 6. Инциденты и доставка уведомлений

    • Инциденты и доставка уведомлений.

    • Практическая работа 7. Работа с инцидентами и почтовыми уведомлениями

    • Часть 1. Работа с автоматически созданным инцидентом.

    • Часть 2. Самостоятельное создание инцидента.

  • Модуль 7. Статистика и отчеты

    • Статистика и отчеты.

    • Практическая работа 8. Статистика и отчеты

    • Часть 1. Статистика

    • Часть 2. Построение отчетов

  • Модуль 8. Обзор документации

    • Журналы и решение проблем.

    • Практическая работа 9. Решение проблем:

    • Часть 1. Файлы журналов.

    • Часть 2. Клиент к базе данных Elasticsearch.

  • Итоговая аттестация