Целевая аудитория

Администраторы безопасности, системные администраторы, специалисты в области информационных технологий, занимающиеся вопросами организации защиты информации в корпоративных сетях, инженеры, ответственные за построение процессов мониторинга и аудита информационной безопасности в организации

Программа

  • RuSIEM

    • Что такое SIEM 

    • Нормализация (поля таксономии)

    • Корреляция (основное)

    • Архитектура

    • Варианты установки

    • Системные требования

    • Установка

      • Откуда взять скрипт установки 

      • Варианты установки (в скрипте)

      • Факторы при планировании

      • Лабораторные требования 

      • Лабораторная работа № 1

      • Проверка выполнения

      • Источники

        • Подключение источников (способы подключение и т.д.) 

        • Агент (архитектура, способы установки)

        • Стенд: просмотр событий; события syslog; вкладка «Источники»

        • Модули агента

        • Удаленный сбор (УЗ для сбора; настройки модуля) 

        • Модуль MS SQL Dr. Web

        • Поля событий

          • Определение 

          • Стенд: Поля host и hostname 

          • Язык запросов lucene 

          • Группировка 

          • Метки времени: @timestamp (проставляется lsinput) и event.time

          • Итог (презентация «Поля событий»)

          • Лабораторная работа № 2

          • Корреляция

            • Для чего нужна и как работает

            • Разбор правил корреляции 

            • Начальная фильтрация 

            • Группировка 

            • Заполнение верхней части (название инцидента, категория и т.д.) 

            • Описание операторов

            • Симптоматика в правилах

            • Работа со списками 

            • Уведомление по правилу 

            • Выполнение shell-команд

            • Содержимое события

            • Итоговая аттестация

              • Итоговая аттестация