Целевая аудитория

Курс ориентирован на инженеров технической и предпродажной поддержки.

Программа

    • 1. Введение в SIEM

    • 2. Архитектура и принципы работы KUMA

    • 3. Установка

    • Лабораторная работа 1. Установить Kaspersky Unified Monitoring & Analysis Platform

    • 4. Сбор событий

    • 4.1. Принцип работы коллектора

    • 4.2. Настройки подключения и коннектора

    • 4.3. Получение событий Windows

    • Лабораторная работа 2. Настроить получение событий Windows

    • Лабораторная работа 3. Настроить получение событий Windows через WMI

    • Лабораторная работа 4. Настроить получение событий Kaspersky Security Center Лабораторная работа

    • 5. Настроить получение событий KATA 5 Нормализация

    • 5.1. Модель данных KUMA

    • 5.2. Настройки нормализатора

    • 5.3. Преобразование (мутация) данных

    • 5.4. Дополнительные нормализаторы

    • 6. Обработка событий коллектором

    • 6.1. Фильтрация

    • 6.2. Агрегация

    • 6.3. Обогащение

    • 7. Интеграции

    • 7.1. Интеграция с Kaspersky Security Center и работа с активами

    • 7.2. Интеграция с LDAP и работа с учетными записями

    • 7.3. Интеграция с Kaspersky Threat Lookup

    • 7.4. Интеграция с Kaspersky CyberTrace

    • Лабораторная работа 6. Настроить получение событий KSWS

    • Лабораторная работа 7. Настроить обогащение данными из DNS

    • Лабораторная работа 8. Импортировать информацию о компьютерах из KSC

    • Лабораторная работа 9. Настроить подключение к Active Directory

    • Лабораторная работа 10. Настроить обогащение данными из CyberTrace

    • 8. Работа с событиями

    • 9. Корреляция

    • 9.1. Виды правил корреляции

    • 9.2. Простые правила корреляции

    • Лабораторная работа 11. Создать простое корреляционное правило

    • 9.3. Стандартные корреляционные правила: селекторы, группы корреляции Лабораторная работа 12. Создать стандартное корреляционное правило

    • 9.4. Стандартные корреляционные правила: объединяющие фильтры

    • Лабораторная работа 13. Настроить предупреждение на события в определенном порядке

    • 9.5. Активные списки и операционные правила корреляции

    • Лабораторная работа 14. Создать техническое корреляционное правило для наполнения активного списка

    • Лабораторная работа 15. Создать корреляционное с использованием активного списка

    • 9.6. Ретроспективный поиск

    • Лабораторная работа 16. Применить ретроспективный поиск

    • 10. Работа с предупреждениями

    • 11. Реагирование

    • 11.1. Реагирование задачей Kaspersky Security Center

    • 11.2. Реагирование уведомлением по почте

    • 11.3. Реагирование запуском скрипта

    • Лабораторная работа 17. Настроить реагирование запуском задачи Kaspersky Security Center

    • 12. Отчетность

    • 12.1. Мониторинг

    • 12.2. Отчеты

    • 12.3. Метрики

    • Лабораторная работа 18. Изучить отчетность

    • Итоговая аттестация