Целевая аудитория

Специалисты, занимающиеся внедрением систем мониторинга, сбора и анализа событий, администраторы безопасности, системные администраторы, инженеры, ответственные за настройку процессов мониторинга и аудита информационной безопасности в организации.

Программа

  • RuSIEM

    • Что такое SIEM

    • Нормализация (поля таксономии)

    • Корреляция (основное)

    • Архитектура

    • Варианты установки

    • Системные требования

    • Установка

      • Откуда взять скрипт установки

      • Варианты установки (в скрипте)

      • Факторы при планировании

      • Лабораторные требования

      • Лабораторная работа № 1

      • Проверка выполнения

      • Источники

        • Подключение источников (способы подключение и т.д.)

        • Агент (архитектура, способы установки)

        • Стенд: просмотр событий; события syslog; вкладка «Источники»:

        • Модули агента

        • Удаленный сбор (УЗ для сбора; настройки модуля)

        • Модуль MS SQL Dr. Web

        • Поля событий

          • Определение

          • Стенд: Поля host и hostname

          • Язык запросов lucene

          • Группировка

          • Метки времени: @timestamp (проставляется lsinput) и event.time

          • Итог (презентация «Поля событий»)

          • Лабораторная работа № 2

          • Корреляция

            • Для чего нужна и как работает

            • Разбор правил корреляции

            • Начальная фильтрация

            • Группировка

            • Заполнение верхней части (название инцидента, категория и т.д.)

            • Описание операторов

            • Симптоматика в правилах

            • Работа со списками

            • Уведомление по правилу

            • Выполнение shell-команд

            • Содержимое события

            • Промежуточная аттестация (в формате устного опроса)

            • Учебный план на день

              • Разбор вопросов по итогам первого дня

              • Описание плана работ на второй день

              • Краткое повторение усвоенного материала

              • Парсеры и разбор работы frs_server

                • Схема работы frs_server

                • Фильтрация событий на уровне frs_server

                • Симптоматика и обогащение

                  • Категоризация событий от разных вендоров (механизм симптоматики)

                  • Задачи симптоматики (1 – категоризация событий; 2 – человека читаемое описание; 3 – вес события; 4 – пользовательские правила обогащения)

                  • Разбор симптома

                  • Группировка по симптомам (разбор события)

                  • Лабораторная работа № 3

                  • Проверка выполнения

                  • Ролевая модель и мультитенантность

                    • Описание ролей

                    • Мультитенантность

                    • Корреляция

                      • Повторение материала по корреляции

                      • Лабораторная работа № 4

                      • Проверка выполнения

                      • Внутренние журналы и диагностические события системы. Поиск и устранение неполадок

                        • Логи микросервисов RuSIEM

                        • Логи БД RuSIEM

                        • Микросервисная архитектура

                          • Типовые и кастомные схемы установки

                          • База данных конфигураций микросервисов

                          • Важные параметры конфигурации микросервисов

                          • API

                            • Типовые задачи, решаемые при помощи API

                            • Создание учетной записи и токена для работы с API

                            • Итоговая аттестация (в формате устного опроса)