САВРУС – основы взаимодействия с системой. Начало погружения в администрирование и работу с интерфейсом системы САВРУС

Программа

• Модуль 0: Основы архитектуры и установки SIEM-системы САВРУС (Теоретические основы SIEM)

  • Тема 0.1: «Компоненты SIEM-системы и установка»

  • 1) Компоненты SIEM-системы САВРУС

  • 2) Инсталляция консоли САВРУС

  • Тема 0.2: «Агенты: типы, назначение, установка»

  • 1) Зачем нужны агенты?

  • 2) Типы агентов

  • 3) Особенности установки и настройки

  • Тема 0.3: «Подключение источников данных»

  • 1) Источники событий ИБ

  • 2) Методы получения Настройка аудита на источнике

  • 3) Базовые принципы нормализации и парсинга

  • Тема 0.4: «Интеграция с внешними системами»

  • Лабораторные работы:

  • 1. Установка компонентов SIEM-системы САВРУС

  • 2. Подключение источников данных

  • 3. Интеграция с внешними системами

• Модуль 1 Работа с активными каналами в SIEM САВРУС

  • Тема 1.1: «Активные каналы»

  • 1) Основные элементы активного канала

  • 2) Создание активного канала

  • 3) Изменение временного интервала и количества записей

  • 4) Добавление полей данных

  • 5) Написание условий

  • 6) Открытие/запуск активного канала

  • 7) Редактирование активного канала

  • 8) Локальные настройки активного канала

  • 9) Глобальные настройки активного канала

  • Лабораторные работы:

  • 1. Создание активного канала

  • 2. Настройка временных интервалов и количества записей

  • 3. Редактирование активных каналов

  • 4. Использование локальных и глобальных настроек

• Модуль 2 Разработка и применение правил в SIEM САВРУС

  • Тема 2.1: «Типы правил и их назначение»

  • 1) Стандартное правило

  • 2) Агрегационное правило

  • 3) Ретроспективное правило

  • 4) Правило обогащения

  • Тема 2.2: «Написание правил»

  • 1) Правила корреляции

  • 2) Стандартные правила

  • 3) Агрегационные правила

  • 4) Ретроспективные правила

  • 5) Ретроспективное GUI

  • 6) Правила обогащения

  • Лабораторные работы:

  • 1. Создание стандартных правил

  • 2. Применение агрегационных правил

  • 3. Практическое использование ретроспективных правил

  • 4. Обогащение данных правилами

• Модуль 3 Извлечение и представление данных в SIEM САВРУС

  • Тема 3.1: «SQL запросы»

  • 1) Создание SQL запроса

  • 2) Изменение SQL запроса

  • 3) Удаление SQL запроса

  • 4) Конструктор запросов

  • Тема 3.2: «Визуализация данных»

  • 1) Создание визуализации

  • 2) Изменение визуализации

  • 3) Удаление визуализации

  • Лабораторные работы:

  • 1. Составление SQL-запросов

  • 2. Создание и редактирование визуализаций

  • 3. Усовершенствование представления данных с использованием конструктора запросов

• Модуль 4 Организация интерфейсов мониторинга и отчетности в SIEM САВРУС

  • Тема 4.1: «Дашборды»

  • 1) Создание дашборда

  • 2) Изменение дашборда

  • 3) Удаление дашборда

  • 4) Стартовый дашборд

  • Тема 4.2: «Отчеты»

  • 1) Создание отчёта

  • 2) Добавление данных в отчёт

  • 3) Редактирование отчёта

  • 4) Удаление отчёта

  • Лабораторные работы:

  • 1. Создание и настройка дашбордов

  • 2. Генерация отчетов

  • 3. Форматирование и экспорт отчетов

• Модуль 5 Администрирование активных списков и глобальных переменных в SIEM САВРУС

  • Тема 5.1: «Активные списки»

  • 1) Создание активного списка

  • 2) Наполнение активного списка

  • 3) Управление активным списком

  • 4) Удаление активного списка

  • Тема 5.2: «Глобальные переменные»

  • 1) Создание Глобальной переменной

  • 2) Редактирование Глобальной переменной

  • 3) Удаление Глобальной переменной

  • Лабораторные работы:

  • 1. Создание и наполнение активных списков

  • 2. Управление глобальными переменными

  • 3. Оптимизация использования активных списков и переменных

• Итоговая аттестация