Целевая аудитория

Специалисты, занимающиеся внедрением систем мониторинга, сбора и анализа событий, администраторы безопасности, системные администраторы, инженеры, ответственные за настройку процессов мониторинга и аудита информационной безопасности в организации.

Программа

  • RuSIEM

    • Что такое SIEM 

    • Нормализация (поля таксономии)

    • Корреляция (основное) 

    • Архитектура 

    • Варианты установки 

    • Системные требования

    • Установка

      • Откуда взять скрипт установки 

      • Варианты установки (в скрипте) 

      • Факторы при планировании

      • Лабораторные требования 

      • Лабораторная работа № 1 

      • Проверка выполнения

      • Источники

        • Подключение источников (способы подключение и т.д.) 

        • Агент (архитектура, способы установки) 

        • Стенд: просмотр событий; события syslog; вкладка «Источники»: 

        • Модули агента 

        • Удаленный сбор (УЗ для сбора; настройки модуля) 

        • Модуль MS SQL Dr. Web

        • Поля событий

          • Определение 

          • Стенд: Поля host и hostname 

          • Язык запросов lucene 

          • Группировка 

          • Метки времени: @timestamp (проставляется lsinput) и event.time

          • Итог (презентация «Поля событий») 

          • Лабораторная работа № 2

          • Корреляция

            • Для чего нужна и как работает 

            • Разбор правил корреляции

            • Начальная фильтрация 

            • Группировка 

            • Заполнение верхней части (название инцидента, категория и т.д.)

            • Описание операторов 

            • Симптоматика в правилах 

            • Работа со списками

            • Уведомление по правилу 

            • Выполнение shell-команд 

            • Содержимое события 

            • Промежуточная аттестация (в формате устного опроса)

            • Учебный план на день

              • Разбор вопросов по итогам первого дня 

              • Описание плана работ на второй день 

              • Краткое повторение усвоенного материала

              • Парсеры и разбор работы frs_server

                • Схема работы frs_server

                • Фильтрация событий на уровне frs_server

                • Симптоматика и обогащение

                  • Категоризация событий от разных вендоров (механизм симптоматики)

                  • Задачи симптоматики (1 – категоризация событий; 2 – человека читаемое описание; 3 – вес события; 4 – пользовательские правила обогащения)

                  • Разбор симптома

                  • Группировка по симптомам (разбор события) 

                  • Лабораторная работа № 3 

                  • Проверка выполнения

                  • Ролевая модель и мультитенантность

                    • Описание ролей 

                    • Мультитенантность

                    • Корреляция

                      • Повторение материала по корреляции 

                      • Лабораторная работа № 4 

                      • Проверка выполнения

                      • Внутренние журналы и диагностические события системы. Поиск и устранение неполадок

                        • Логи микросервисов RuSIEM

                        • Логи БД RuSIEM

                        • Микросервисная архитектура

                          • Типовые и кастомные схемы установки 

                          • База данных конфигураций микросервисов 

                          • Важные параметры конфигурации микросервисов

                          • API

                            • Типовые задачи, решаемые при помощи API 

                            • Создание учетной записи и токена для работы с API 

                            • Итоговая аттестация (в формате устного опроса)