Программа курса
1. Введение в SIEM
2. Архитектура и принципы работы KUMA
3. Установка
- Лабораторная работа 1. Установить Kaspersky Unified Monitoring and Analysis Platform
4. Сбор событий
- Принцип работы коллектора
- Настройки подключения и коннектора
- Получение событий Windows
- Лабораторная работа 2. Настроить получение событий Windows
- Лабораторная работа 3. Настроить получение событий Kaspersky Security Center
- Лабораторная работа 4. Настроить получение событий KATA
5. Нормализация
- Модель данных KUMA
- Настройки нормализатора
- Преобразование данных
- Дополнительные нормализаторы
6. Обработка событий коллектором
- Фильтрация
- Агрегация
- Обогащение
7. Интеграции
- Интеграция с Kaspersky Security Center и работа с активами
- Интеграция с LDAP и работа с учетными записями
- Интеграция с Kaspersky Threat Lookup
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Kaspersky Endpoint Detection and Response
- Лабораторная работа 5. Настроить получение событий KSWS
- Лабораторная работа 6. Настроить обогащение данными из DNS
- Лабораторная работа 7. Настроить обогащение событий данными GeoIP
- Лабораторная работа 8. Импортировать информацию о компьютерах из KSC
- Лабораторная работа 9. Настроить обогащение данными из LDAP
- Лабораторная работа 10. Настроить обогащение данными из CyberTrace
8. Работа с событиями
9. Корреляция
- Виды правил корреляции
- Простые правила корреляции
- Стандартные корреляционные правила: селекторы, группы корреляции
- Локальные и глобальные переменные
- Лабораторная работа 11. Создать простое корреляционное правило
- Лабораторная работа 12. Создать стандартное корреляционное правило
- Лабораторная работа 13. Настроить алерт на события в определенном порядке
- Активные списки и операционные правила корреляции
- Ретроспективный поиск
- Лабораторная работа 14. Создать техническое корреляционное правило для наполнения активного списка
- Лабораторная работа 15. Создать корреляционное правило с использованием активного списка
- Лабораторная работа 16. Создать корреляционное правило с использованием локальной переменной
- Лабораторная работа 17. Применить ретроспективный поиск
10. Работа с алертами
11. Реагирование
- Реагирование задачей Kaspersky Security Center
- Реагирование запуском скрипта
- Реагирование задачей Kaspersky Endpoint Detection and Response
- Лабораторная работа 18. Настроить реагирование запуском задачи Kaspersky Security Center
- Лабораторная работа 19. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response
12. Отчетность
- 12.1. Панели мониторинга
- 12.2. Отчеты
- 12.3. Метрики
- Лабораторная работа 20. Изучить отчетность
- Лабораторная работа 21. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (опционально)
13. Что нового в KUMA 2.1
- Лабораторная работа 22. Обновить Kaspersky Unified Monitoring and Analysis до версии 2.1
- Лабораторная работа 23. Добавить актуальный контент из репозитория доступных обновлений Лаборатории Касперского
- Лабораторная работа 24. Настроить «холодное» хранение событий в Kaspersky Unified Monitoring and Analysis Platform