010. Администрирование KOMRAD Enterprise SIEM
Для кого этот курс: специалисты подразделений информационной безопасности, ИТ-подразделений, администраторы информационной безопасности; системные и сетевые администраторы.
Цель курса: получить практические навыки по администрированию SIEM-системы КОМРАД (разработка НПО «Эшелон»).
Код курса: 010
Форма обучения: очно, дистанционно
Длительность курса: 16 ак.ч
Ближайший курс: 07-08 августа
Стоимость: 34 000 рублей
Программа:
Раздел 1. «SOС: процессы, люди и технологии»
- актуальность создания SOC;
- задачи, решаемые SOC;
- ключевые процессы;
- роли и обязанности сотрудников;
- технологии, используемые в SOC.
Раздел 2. «Мониторинг событий ИБ в среде Windows: события, фильтры и директивы корреляции для выявления инцидентов»
- регистрация событий информационной безопасности в Windows;
- события ИБ, требующие особого внимания;
- организация сбора событий с Windows-машин;
- типовые фильтры и директивы корреляции.
Раздел 3. «Мониторинг событий ИБ в среде Linux: события, фильтры и директивы корреляции для выявления инцидентов»
- регистрация событий информационной безопасности в Linux;
- события ИБ, требующие особого внимания;
- организация сбора событий с Linux-машин;
- типовые фильтры и директивы корреляции.
Раздел 4. «Тестирование на проникновение: методики и технологии. Контроль эффективности работы SIEM-системы»
- обзор методологий тестирования защищенности;
- методика комплексного тестирования защищенности;
- контроль эффективности SIEM-системы в ходе проведения пентеста.
Раздел 5. «Использование MITRE ATTACK для моделирования возможных действий злоумышленников и формирования директив корреляции»
- обзор MITRE ATTACK;
- применение MITRE ATTACK для разработки фильтров и директив корреляции в SIEM-системе.
Раздел 6. «KOMRAD Enterprise SIEM. Нормализация событий»
- нормализация событий и поля нормализации;
- разработка регулярных выражений для плагинов.
Раздел 7. «KOMRAD Enterprise SIEM. Фильтрация событий»
- расширенный обзор технологии применения и создания фильтров;
- составление экспертных фильтров с помощью языка Lua.
Раздел 8. «KOMRAD Enterprise SIEM. Корреляция событий»
- расширенный обзор возможностей при составлении директив корреляции;
- детальная настройка почтовых уведомлений при генерации инцидента;
- настройка скриптов реакции.
Раздел 9. «KOMRAD Enterprise SIEM. ГосСОПКА»
- обзор технологии передачи инцидентов в ГосСОПКА.
Раздел 10. «KOMRAD Enterprise SIEM. Консоль администратора»
- детальный обзор основных конфигурационных файлов и их параметров;
- поиск неисправностей и пути их решения;
- полезные консольные команды при администрировании.
Условия обучения: Слушателям представляются раздаточные материалы. По окончании обучения слушателям выдается Удостоверение о повышении квалификации установленного образца и Сертификат учебного центра.