Программа курса
Модуль 1.
- Назначение SIEM-системы.
- Упрощенное внедрение системы.
- Компоненты системы, потоки данных.
- Практическая работа 1. Установка системы, первичная настройка компонентов.
Модуль 2.
- Asset and vulnerability management.
- Метрики CVSSv2, CVSSv3.
- Контекстные метрики.
- БДУ ФСТЭК РФ.
- Практическая работа 2. Задачи, профили, активы:
- Обнаружение узлов в сети, журналы агента.
- Группы активов.
- Аудит Windows и Linux.
- Назначение контекстных метрик группам.
- Топология.
Модуль 3. Пользователи и роли. Практическая работа 3.Пользователи и роли, инфраструктуры.
Модуль 4.
- Сбор и работа с событиями.
- PDQL и таксономия события.
- Практическая работа 4. Сбор событий:
- WinEventLog, WMInotification
- File via SSH
- Checkpoint Gaia 80.10 (опционально)
- Kaspersky Security Center (опционально)
- Группировка событий
Модуль 5.
- Корреляции. Обзор системных правил корреляции.
- Практическая работа 5. Корреляции и генераторы
- Практическая работа 6. Сбор событий по протоколу syslog
Модуль 6.
- Инциденты и доставка уведомлений
- Практическая работа 7. Работа с инцидентами и почтовыми уведомлениями
- Работа с автоматически созданным инцидентом.
- Самостоятельное создание инцидента.
Модуль 7.
- Статистика и отчеты
- Практическая работа 8. Статистика и отчеты
- Статистика
- Построение отчетов
Модуль 8.
- Обзор документации. Журналы и решение проблем.
- Практическая работа 9. Решение проблем:
- Файлы журналов.
- Клиент к базе данных Elasticsearch.