Анализ событий ИБ и работа с инцидентами

Анализ событий ИБ и работа с инцидентами

Код курса КП70, 4 дня

Статус

Авторский практический курс Учебного центра “Информзащита”

Аннотация

Основное внимание в этом практическом курсе, посвященном новой версии HP ArcSight ESM 6.х., уделяется:

• знакомству с продуктом HP ArcSight, составом и взаимодействием компонент;
• описанию жизненного цикла события ИБ в системе;
• реализации сетевой модели для корреляции событий ИБ;
• использованию возможностей системы для анализа событий (фильтры, правила, счетчики, отчеты);
• изучению возможностей системы по визуализации событий (графические представления и инструментальные панели);
• использованию возможностей системы при работе с инцидентами (создание инцидента, внутренний документооборот, реализация уведомлений и автоматических эскалаций);
• обзору возможностей по сбору событий (стандартные и flex коннекторы).

Лабораторные работы проводятся на новой версии HP ArcSight ESM 6.х.

В результате обучения

Вы сможете:

• использовать при анализе событий все возможности HP ArcSight;
• самостоятельно автоматизировать работу по мониторингу событий, научиться создавать правила корреляции событий;
• планировать развитие системы с учетом ее возможностей;
• получить информацию о продуктах (RepSM), а также увидеть примеры из реальной практики выявления инцидентов ИБ с помощью поведенческого анализа (PatternDiscovery /ThreatDetector);
• задать любые интересующие вас вопросы, касающиеся функционала системы.

Пакет слушателя

Дополнительная и справочная информация по тематике курса в электронном виде.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита».

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

Каждый модуль состоит из 30-40 минут теоретической части c перерывом на 10 минут отдыха. Часть модулей содержит практические занятия.

Модуль 1

• Знакомство, задачи курса

Модуль 2

• Описание архитектуры
• Жизненный цикл событий

Модуль 3

• Схема событий, возможности SmartConnector
• Интерфейс пользователя: консоль

Модуль 4

• Активные каналы
• Наборы полей
• Фильтры событий
• Использование переменных

Модуль 5

• Правила корреляции
• Правила корреляции: расширенные возможности (join, negative)

Модуль 6

• Использование DataMonitors
• Графики событий (EventGraphs)

Модуль 7

• Инструментальные панели (Dashboards)
• Инструментальные панели (Dashboards): расширенные возможности (QueryViewers), оптимизация быстродействия

Модуль 8

• Использование сетевой модели
• Внутренний документооборот, уведомления

Модуль 9

• Отчеты: общее
• Отчеты: расширенные возможности, Trends
• Отчеты: расширенные возможности, изменение дизайна, оптимизация быстродействия

Модуль 10

• Использование RepSM

Модуль 11

• Использование ArcSight PatternDiscovery /ThreatDetector