Меню Закрыть

Администрирование KOMRAD Enterprise SIEM

010. Администрирование KOMRAD Enterprise SIEM

Для кого этот курс: специалисты подразделений информационной безопасности, ИТ-подразделений, администраторы информационной безопасности; системные и сетевые администраторы.

Цель курса: получить практические навыки по администрированию SIEM-системы КОМРАД (разработка НПО «Эшелон»).

Код курса: 010

Форма обучения: очно, дистанционно

Длительность курса: 16 ак.ч

Ближайший курс: 17-18 июня

Стоимость: 34 000 рублей

Программа:

Раздел 1. «SOС: процессы, люди и технологии»

  • актуальность создания SOC;
  • задачи, решаемые SOC;
  • ключевые процессы;
  • роли и обязанности сотрудников;
  • технологии, используемые в SOC.

Раздел 2. «Мониторинг событий ИБ в среде Windows: события, фильтры и директивы корреляции для выявления инцидентов»

  • регистрация событий информационной безопасности в Windows;
  • события ИБ, требующие особого внимания;
  • организация сбора событий с Windows-машин;
  • типовые фильтры и директивы корреляции.

Раздел 3. «Мониторинг событий ИБ в среде Linux: события, фильтры и директивы корреляции для выявления инцидентов»

  • регистрация событий информационной безопасности в Linux;
  • события ИБ, требующие особого внимания;
  • организация сбора событий с Linux-машин;
  • типовые фильтры и директивы корреляции.

Раздел 4. «Тестирование на проникновение: методики и технологии. Контроль эффективности работы SIEM-системы»

  • обзор методологий тестирования защищенности;
  • методика комплексного тестирования защищенности;
  • контроль эффективности SIEM-системы в ходе проведения пентеста.

Раздел 5. «Использование MITRE ATTACK для моделирования возможных действий злоумышленников и формирования директив корреляции»

  • обзор MITRE ATTACK;
  • применение MITRE ATTACK для разработки фильтров и директив корреляции в SIEM-системе.

Раздел 6. «KOMRAD Enterprise SIEM. Нормализация событий»

  • нормализация событий и поля нормализации;
  • разработка регулярных выражений для плагинов.

Раздел 7. «KOMRAD Enterprise SIEM. Фильтрация событий»

  • расширенный обзор технологии применения и создания фильтров;
  • составление экспертных фильтров с помощью языка Lua.

Раздел 8. «KOMRAD Enterprise SIEM. Корреляция событий»

  • расширенный обзор возможностей при составлении директив корреляции;
  • детальная настройка почтовых уведомлений при генерации инцидента;
  • настройка скриптов реакции.

Раздел 9. «KOMRAD Enterprise SIEM. ГосСОПКА»

  • обзор технологии передачи инцидентов в ГосСОПКА.

Раздел 10. «KOMRAD Enterprise SIEM. Консоль администратора»

  • детальный обзор основных конфигурационных файлов и их параметров;
  • поиск неисправностей и пути их решения;
  • полезные консольные команды при администрировании.

Условия обучения: Слушателям представляются раздаточные материалы. По окончании обучения слушателям выдается Удостоверение о повышении квалификации установленного образца и Сертификат учебного центра.