Kaspersky Unified Monitoring and Analysis Platform (034.2.1) – Программа курса

Программа курса

1. Введение в SIEM

2. Архитектура и принципы работы KUMA

3. Установка

  • Лабораторная работа 1. Установить Kaspersky Unified Monitoring and Analysis Platform

4. Сбор событий

  • Принцип работы коллектора
  • Настройки подключения и коннектора
  • Получение событий Windows
  • Лабораторная работа 2. Настроить получение событий Windows
  • Лабораторная работа 3. Настроить получение событий Kaspersky Security Center
  • Лабораторная работа 4. Настроить получение событий KATA

5. Нормализация

  • Модель данных KUMA
  • Настройки нормализатора
  • Преобразование данных
  • Дополнительные нормализаторы

6. Обработка событий коллектором

  • Фильтрация
  • Агрегация
  • Обогащение

7. Интеграции

  • Интеграция с Kaspersky Security Center и работа с активами
  • Интеграция с LDAP и работа с учетными записями
  • Интеграция с Kaspersky Threat Lookup
  • Интеграция с Kaspersky CyberTrace
  • Интеграция с Kaspersky Kaspersky Endpoint Detection and Response
  • Лабораторная работа 5. Настроить получение событий KSWS
  • Лабораторная работа 6. Настроить обогащение данными из DNS
  • Лабораторная работа 7. Настроить обогащение событий данными GeoIP
  • Лабораторная работа 8. Импортировать информацию о компьютерах из KSC
  • Лабораторная работа 9. Настроить обогащение данными из LDAP
  • Лабораторная работа 10. Настроить обогащение данными из CyberTrace

8. Работа с событиями

9. Корреляция

  • Виды правил корреляции
  • Простые правила корреляции
  • Стандартные корреляционные правила: селекторы, группы корреляции
  • Локальные и глобальные переменные
  • Лабораторная работа 11. Создать простое корреляционное правило
  • Лабораторная работа 12. Создать стандартное корреляционное правило
  • Лабораторная работа 13. Настроить алерт на события в определенном порядке
  • Активные списки и операционные правила корреляции
  • Ретроспективный поиск
  • Лабораторная работа 14. Создать техническое корреляционное правило для наполнения активного списка
  • Лабораторная работа 15. Создать корреляционное правило с использованием активного списка
  • Лабораторная работа 16. Создать корреляционное правило с использованием локальной переменной
  • Лабораторная работа 17. Применить ретроспективный поиск

10. Работа с алертами

11. Реагирование

  • Реагирование задачей Kaspersky Security Center
  • Реагирование запуском скрипта
  • Реагирование задачей Kaspersky Endpoint Detection and Response
  • Лабораторная работа 18. Настроить реагирование запуском задачи Kaspersky Security Center
  • Лабораторная работа 19. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response

12. Отчетность

  • 12.1. Панели мониторинга
  • 12.2. Отчеты
  • 12.3. Метрики
  • Лабораторная работа 20. Изучить отчетность
  • Лабораторная работа 21. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (опционально)

13. Что нового в KUMA 2.1

  • Лабораторная работа 22. Обновить Kaspersky Unified Monitoring and Analysis до версии 2.1
  • Лабораторная работа 23. Добавить актуальный контент из репозитория доступных обновлений Лаборатории Касперского
  • Лабораторная работа 24. Настроить «холодное» хранение событий в Kaspersky Unified Monitoring and Analysis Platform