Kaspersky Unified Monitoring and Analysis Platform

Kaspersky Unified Monitoring and Analysis Platform

Код курса KL 034.2.1, 3 дня

Статус

Авторизованный практический курс компании "Лаборатория Касперского"

Аннотация

Данный курс предназначен для администраторов информационной безопасности и аналитиков, которые используют или планируют использовать платформу Kaspersky Unified Monitoring and Analysis –решение класса SIEM, для сбора, хранения обработки, корреляции и визуализации разрозненных данных.

Курс знакомит с архитектурой и возможностями решения, рассказывает и показывает, как выполнить установку и настройку решения на многочисленных примерах.

Материалы курса включают слайды с описанием принципов работы и настройки, а также лабораторные работы для закрепления практических навыков настройки.

Изучаемые продукты:

Основной продукт:

• Kaspersky Unified Monitoring and Analysis Platform 2.0.1
• Kaspersky Unified Monitoring and Analysis Platform 2.1

Смежные продукты, выступающие источниками событий, источниками данных для обогащения и средствами реагирования в лабораторных работах:

• Kaspersky Security Center 14
• Kaspersky Endpoint Security 11.10
• Kaspersky Security for Windows Server 11.1
• Смежные продукты, выступающие источниками данных для обогащения в теоретических материалах:
• Kaspersky CyberTrace 4.1
• Kaspersky Threat Lookup

Аудитория

Инженеры технической и предпродажной поддержки, системные администраторы и другие специалисты, использующие продукт Лаборатории Касперского: Kaspersky Unified Monitoring and Analysis Platform 2.1.

Предварительная подготовка

• Понимание основ сетевых технологий: TCP/IP, DNS, электронной почты, web
• Базовые навыки администрирования ОС Windows и Linux
• Базовые знания об информационной безопасности
• Представление о том, что такое регулярные выражения

Пакет слушателя

Комплект официальных учебных материалов «Лаборатории Касперского».

Дополнительно

Специалисты, успешно прошедшие обучение, получают:

• свидетельство Учебного центра «Информзащита»;
• сертификат компании «Лаборатория Касперского».

Выпускники могут получать бесплатные консультации специалистов Учебного центра по пройденному курсу.

Рекомендуется для подготовки к экзамену KLE034.2.1: Kaspersky Unified Monitoring and Analysis Platform 2.1.

Программа учебного курса

1. Введение в SIEM

2. Архитектура и принципы работы KUMA

3. Установка

Лабораторная работа 1. Установить Kaspersky Unified Monitoring and Analysis Platform

4. Сбор событий. Принцип работы коллектора. Настройки подключения и коннекторы. Получение событий Windows.

Лабораторная работа 2. Настроить получение событий Windows

Лабораторная работа 3. Настроить получение событий Kaspersky Security Center

Лабораторная работа 4. Настроить получение событий KATA (опционально)

5. Нормализация. Модель данных KUMA. Настройки нормализатора. Преобразование данных. Дополнительные нормализаторы.

6. Обработка событий коллектором. Фильтрация. Агрегация. Обогащение.

7. Интеграции. Интеграция с Kaspersky Security Center и работа с активами. Интеграция с LDAP и работа с учетными записями. Интеграция с Kaspersky Threat Lookup. Интеграция с Kaspersky CyberTrace. Интеграция с Kaspersky Endpoint Detection and Response

Лабораторная работа 5. Настроить получение событий KSWS

Лабораторная работа 6. Настроить обогащение данными из DNS

Лабораторная работа 7. Настроить обогащение событий данными GeoIP

Лабораторная работа 8. Импортировать информацию о компьютерах из KSC

Лабораторная работа 9. Настроить обогащение данными из LDAP

Лабораторная работа 10. Настроить обогащение данными из CyberTrace

8. Работа с событиями

9. Корреляция. Виды правил корреляции. Простые правила корреляции. Стандартные корреляционные правила: селекторы, группы корреляции. Локальные и глобальные переменные. Активные списки и операционные правила корреляции. Ретроспективный поиск

Лабораторная работа 11. Создать простое корреляционное правило

Лабораторная работа 12. Создать стандартное корреляционное правило

Лабораторная работа 13. Настроить алерт на события в определенном порядке

Лабораторная работа 14. Создать техническое корреляционное правило для наполнения активного списка

Лабораторная работа 15. Создать корреляционное правило с использованием активного списка

Лабораторная работа 16. Создать корреляционное правило с использованием локальной переменной

Лабораторная работа 17. Применить ретроспективный поиск

10. Работа с алертами

11. Реагирование. Реагирование задачей Kaspersky Security Center. Реагирование запуском скрипта. Реагирование задачей Kaspersky Endpoint Detection and Response.

Лабораторная работа 18. Настроить реагирование запуском задачи Kaspersky Security Center

Лабораторная работа 19. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response

12. Отчетность. Панели мониторинга. Отчеты. Метрики.

Лабораторная работа 20. Изучить отчетность

Лабораторная работа 21. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (опционально)

13. Что нового в KUMA 2.1

Лабораторная работа 22. Обновить Kaspersky Unified Monitoring and Analysis до версии 2.1

Лабораторная работа 23. Добавить актуальный контент из репозитория доступных обновлений Лаборатории Касперского

Лабораторная работа 24. Настроить «холодное» хранение событий в Kaspersky Unified Monitoring and Analysis Platform