KL 034.2.1 Kaspersky Unified Monitoring & Analysis Platform

Программа

• Модуль 1. Введение в SIEM

• Модуль 2. Архитектура и принципы работы KUMA

• Модуль 3. Установка

  • Лабораторная работа 1. Установить Kaspersky Unified Monitoring and Analysis Platform

• Модуль 4. Сбор событий

  • 4.1. Принцип работы коллектора

  • 4.2. Настройки подключения и коннектора

  • 4.3. Получение событий Windows

  • Лабораторная работа 2. Настроить получение событий Windows

  • Лабораторная работа 3. Настроить получение событий Kaspersky Security Center

  • Лабораторная работа 4. Настроить получение событий KATA

• Модуль 5. Нормализация

  • 5.1. Модель данных KUMA

  • 5.2. Настройки нормализатора

  • 5.3. Преобразование данных

  • 5.4. Дополнительные нормализаторы

• Модуль 6. Обработка событий коллектором

  • 6.1. Фильтрация

  • 6.2. Агрегация

  • 6.3. Обогащение

• Модуль 7. Интеграции

  • 7.1. Интеграция с Kaspersky Security Center и работа с активами

  • 7.2. Интеграция с LDAP и работа с учетными записями

  • 7.3. Интеграция с Kaspersky Threat Lookup

  • 7.4. Интеграция с Kaspersky CyberTrace

  • 7.5. Интеграция с Kaspersky Endpoint Detection and Response

  • Лабораторная работа 5. Настроить получение событий KSWS

  • Лабораторная работа 6. Настроить обогащение данными из DNS

  • Лабораторная работа 7. Настроить обогащение событий данными GeoIP

  • Лабораторная работа 8. Импортировать информацию о компьютерах из KSC

  • Лабораторная работа 9. Настроить обогащение данными из LDAP

  • Лабораторная работа 10. Настроить обогащение данными из CyberTrace

• Модуль 8. Работа с событиями

• Модуль 9. Корреляция

  • 9.1. Виды правил корреляции

  • 9.2. Простые правила корреляции

  • 9.3. Стандартные корреляционные правила: селекторы, группы корреляции

  • 9.4. Локальные и глобальные переменные

  • Лабораторная работа 11. Создать простое корреляционное правило

  • Лабораторная работа 12. Создать стандартное корреляционное правило

  • Лабораторная работа 13. Настроить алерт на события в определенном порядке

  • 9.5. Активные списки и операционные правила корреляции

  • 9.6. Ретроспективный поиск

  • Лабораторная работа 14. Создать техническое корреляционное правило для наполнения активного списка

  • Лабораторная работа 15. Создать корреляционное правило с использованием активного списка

  • Лабораторная работа 16. Создать корреляционное правило с использованием локальной переменной

  • Лабораторная работа 17. Применить ретроспективный поиск

• Модуль 10. Работа с алертами

• Модуль 11. Реагирование

  • 11.1. Реагирование задачей Kaspersky Security Center

  • 11.2. Реагирование запуском скрипта

  • 11.3. Реагирование задачей Kaspersky Endpoint Detection and Response

  • Лабораторная работа 18. Настроить реагирование запуском задачи Kaspersky Security Center

  • Лабораторная работа 19. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response

• Модуль 12. Отчетность

  • 12.1. Панели мониторинга

  • 12.2. Отчеты

  • 12.3. Метрики

  • Лабораторная работа 20. Изучить отчетность

  • Лабораторная работа 21. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (опционально)

• Модуль 13. Что нового в KUMA 2.1

  • Лабораторная работа 22. Обновить Kaspersky Unified Monitoring and Analysis до версии 2.1

  • Лабораторная работа 23. Добавить актуальный контент из репозитория доступных обновлений

  • Лаборатории Касперского Лабораторная работа 24. Настроить «холодное» хранение событий в Kaspersky Unified Monitoring and Analysis Platform

• Итоговая аттестация