Описание
Предварительная подготовка:

· Понимание основ сетевых технологий: TCP/IP, DNS, электронной почты, web

· Базовые навыки администрирования ОС Windows и Linux

· Базовые знания об информационной безопасности

· Представление о том, что такое регулярные выражения

Целевая аудитория

Курс ориентирован на инженеров технической и предпродажной поддержки.

Программа

  • Модуль 1. Введение в SIEM

  • Модуль 2. Архитектура и принципы работы KUMA

  • Модуль 3. Установка

    • Варианты установки: all-in-one, распределенная, установка в режиме высокой доступности

    • Лабораторная работа 1. Установить Kaspersky Unified Monitoring and Analysis Platform

  • Модуль 4. Сбор событий

    • Принцип работы коллектора, настройки подключения и коннектора, получение событий

    • Лабораторная работа 2. Настроить получение событий из Windows Event Log

    • Лабораторная работа 3. Настроить получение событий из журнала Windows DNS Analytic (факультативно)

    • Лабораторная работа 4. Настроить получение событий Linux (факультативно)

    • Лабораторная работа 5. Настроить получение событий Kaspersky Security Center

    • Лабораторная работа 6. Настроить получение событий KATA

  • Модуль 5. Нормализация

    • Модель данных KUMA, настройки нормализатора, преобразование данных, дополнительны нормализаторы

  • Модуль 6. Обработка событий коллектором

    • 6.1. Фильтрация

    • 6.2. Агрегация

    • 6.3. Обогащение

  • Модуль 7. Интеграции

    • 7.1. Интеграция с Kaspersky Security Center и работа с активами

    • 7.2. Интеграция с LDAP и работа с учетными записями

    • 7.3. Интеграция с Kaspersky Threat Lookup

    • 7.4. Интеграция с Kaspersky CyberTrace

    • 7.5. Интеграция с Kaspersky Endpoint Detection and Response

    • Лабораторная работа 7. Настроить получение EDR-телеметрии из KATA

    • Лабораторная работа 8. Настроить обогащение событий данными из DNS

    • Лабораторная работа 9. Настроить обогащение событий данными по GeoIP

    • Лабораторная работа 10. Импортировать информацию о компьютерах из KSC

    • Лабораторная работа 11. Настроить обогащение событий с помощью Active Directory

    • Лабораторная работа 12. Настроить обогащение данными из CyberTrace

  • Модуль 8. Работа с событиями

    • Лабораторная работа 13. Настроить «холодное» хранение событий в KUMA

  • Модуль 9. Корреляция

    • Виды правил корреляции, переменные, активные списки и ретроспективный поиск

    • Лабораторная работа 14. Создать простое корреляционное правило

    • Лабораторная работа 15. Создать стандартное корреляционное правило

    • Лабораторная работа 16. Настроить алерт на события в определенном порядке

    • Лабораторная работа 17. Создать корреляционное правило с использованием локальной переменной

    • Лабораторная работа 18. Создать техническое корреляционное правило для наполнения активного списка

    • Лабораторная работа 19. Создать корреляционное правило с использованием активного списка

    • Лабораторная работа 20. Применить ретроспективный поиск

  • Модуль 10. Работа с алертами

  • Модуль 11. Реагирование

    • Реагирование задачей Kaspersky Security Center, реагирование запуском скрипта, реагирование задачей Kaspersky Endpoint Detection and Response

    • Лабораторная работа 21. Настроить реагирование запуском задачи Kaspersky Security Center

    • Лабораторная работа 22. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response

  • Модуль 12. Отчетность

    • Панели мониторинга, отчеты, покрытие матрицы MITRE ATT&CK, метрики

    • Лабораторная работа 23. Изучить отчетность

    • Лабораторная работа 24. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (факультативно)

    • Лабораторная работа 25. Настройка Event router service (факультативно)

    • Лабораторная работа 26. Создание правила на основе функции вычисления энтропии (факультативно)

  • Итоговая аттестация