010. Администрирование SIEM-системы КОМРАД
Длительность курса: 2 рабочих дня
Стоимость: 34 000 рублей
Для кого этот курс: специалисты подразделений информационной безопасности, ИТ-подразделений, администраторы информационной безопасности; системные и сетевые администраторы.
Цель курса: получить практические навыки по администрированию SIEM-системы КОМРАД (разработка НПО «Эшелон»).
Программа:
Раздел 1. Хакеры и хакерские технологии
- типы злоумышленников;
- методологии взлома;
- обзор инструментов, используемых хакерами;
- обзор современных хакерских атак.
Раздел 2. Введение в SIEM-системы
- задачи, решаемые с помощью SIEM-системы КОМРАД;
- архитектура системы КОМРАД;
- этапы проекта по внедрению SIEM-системы КОМРАД.
Раздел 3. Базовая конфигурация КОМРАД
- инсталляция системы КОМРАД;
- требования к программно-техническому обеспечению;
- установка ПК «КОМРАД»;
- базовая конфигурация системы КОМРАД;
- обзор графического интерфейса;
- веб-интерфейс ПК «Комрад»;
- структура меню веб-интерфейса ПК «Комрад»;
- лаб. 1. Базовые настройки системы КОМРАД
Раздел 4. Управление активами
- активы;
- группы активов;
- обнаружение активов;
- лаб. 2. Управление активами в КОМРАД.
Раздел 5. Источники корреляции событий
- источники данных;
- события информационной безопасности;
- агрегация данных;
- фильтрация данных;
- нормализация данных;
- корреляция событий;
- оценка рисков.
Раздел 6. Конфигурация источников
- агентный/безагентный сбор;
- интеграция с системами анализа защищенности на примере «Сканер-ВС»;
- интеграция с системами межсетевого экранирования и системами обнаружения вторжений на примере МЭ и СОВ «Рубикон»;
- интеграция с ОС Linux на примере Debian 7 (или Astra Linux);
- интеграция с ОС Windows (на примере Windows 2008);
- лаб 3. Настройка агентского сбора событий на примере Astra Linux;
- лаб 4. Настройка агентского сбора событий на примере Windows;
- лаб 5. Наcтройка безагентного сбора событий на примере Astra Linux.
Раздел 7. Политики и действия
- политики;
- действия (actions);
- конфигурация политик в КОМРАД;
- лаб. 6. Конфигурация политик на примере настройки оповещений.
Раздел 8. Управление инцидентами в КОМРАД
- регистрация инцидентов;
- обработка инцидентов безопасности;
- отслеживание статуса;
- реагирование на тревоги;
- механизм заявок;
- лаб 7. Создание директив корреляции;
- работа с директивами корреляции.
Раздел 10. Отчеты в КОМРАД
- встроенные отчеты;
- настройка виджетов;
- лаб. 8. Запуск отчетов.
Раздел 10. Администрирование системы КОМРАД
- работа в интерфейсе командной строки;
- резервное копирование и восстановление;
- просмотр журналов;
- ИКС;
- конфигурирование настроек сервера и сенсора;
- просмотр журналов системы;
- настройка параметров хранения событий безопасности;
- резервное копирование системы;
- настройка механизма уведомлений;
- управление пользователями;
- управление учётными записями пользователей ПК «КОМРАД»;
- лаб. 9. Разграничение доступа в ПК «КОМРАД»;
- возможности масштабирования системы.
Раздел 11. Дополнительные системы в составе ПК КОМРАД
- сканер уязвимостей;
- мониторинг доступности;
- база знаний;
- compliance control;
- анализ трафика (netflow);
- модуль инвентаризации.
Условия обучения: Слушателям представляются раздаточные материалы. По окончании обучения слушателям выдается Сертификат учебного центра.