Развертывание и администрирование MaxPatrol SIEM

Развертывание и администрирование MaxPatrol SIEM

Код курса ПТ13, 3 дня

Статус

Авторизованный практический курс компании Positive Technologies.

Аннотация

Базовый курс, охватывающий основные возможности системы мониторинга и управления инцидентами информационной безопасности MaxPatrol SIEM и методологию ее использования для автоматизации задач управления событиями информационной безопасности. Рассматриваются вопросы внедрения и эксплуатации MaxPatrol SIEM.

Аудитория

• Администраторы безопасности
• Администраторы корпоративных сетей
• IT-специалисты, занимающиеся защитой информации
• Консультанты и инженеры, ответственные за реагирование на инциденты ИБ
• Тем, кто готовится сдать сертификацию MaxPatrol SIEM CS

Предварительная подготовка

Для успешного прохождения курса вам необходимо:

• Знать основы сетевых технологий.
• Иметь общее представление об информационной безопасности и построении защищенных корпоративных систем.
• Понимать, что такое SIEM.
• Знать Windows и Linux на уровне администратора.
• Уметь работать с основными консольными утилитами администрирования (ls, ps, dir, df, cat, vim, nano, free, top).
• Иметь навыки работы с контейнерами (Docker и Docker Compose).

В результате обучения

Вы узнаете:

• об архитектуре и принципах работы системы MaxPatrol SIEM;
• методологии применения MaxPatrol SIEM для мониторинга событий информационной безопасности и управления инцидентами на базе MaxPatrol SIEM.

Вы сможете:

• проектировать системы мониторинга и аудита информационной безопасности на базе MaxPatrol с учетом сетевой топологии и особенностей системы управления информационной безопасностью;
• управлять задачами на подключение источников событий и задачами по сбору событий;
• работать с историей событий информационной системы;
• осуществлять администрирование и эксплуатацию системы MaxPatrol SIEM.

Пакет слушателя

• Авторизованное учебное пособие.
• Комплект продуктов, использованных в рамках курса, документация к ним, технические замечания, FAQ и другие документы в электронном виде.

Дополнительно

После прохождения базового курса по MaxPatrol SIEM выпускники получают:

• свидетельства об обучении Учебного центра "Информзащита",
• сертификаты о прохождении авторизованного курса от компании Positive Technologies.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Курс является ступенью подготовки к экзамену PT-SIEM-CS.

Программа курса

• Модуль 1.    Назначение MaxPatrol SIEM. Упрощенное внедрение системы. Asset management, vulnerability management, SIEM. Компоненты системы, направления развития, потоки данных.
• Модуль 2.    Asset & vulnerability management. Метрики CVSS 3.0. Контекстные метрики. Банк данных угроз ФСТЭК РФ.

  Практическая работа. Задачи, профили, активы

  Часть 1. Обнаружение узлов в сети, журналы агента.

  Часть 2. Группы активов.

  Часть 3. Аудит Windows и Linux.

  Часть 4. Назначение контекстных метрик группам.

• Модуль 3.    Пользователи и роли.

  Практическая работа.Пользователи и роли, инфраструктуры.

• Модуль 4.   Сбор и работа с событиями. PDQL и таксономия события.

  Практическая работа. Сбор событий

  Часть 1. Сбор событий по SSH.

  Часть 2. Сбор событий с Check Point Gaia по протоколу OPSEC.

  Часть 3. Сбор событий Kaspersky Security Center из базы данных Microsoft SQL Server.

  Часть 4. Сбор событий по протоколу syslog.

  Часть 5. Загрузка событий из файлов.

  Часть 6. Поиск событий с помощью языка PDQL.

  Часть 7. Группировка событий, создание виджетов и отчетов.

• Модуль 5.   Работа с PT KB.

  Практическая работа. Добавление исключений для правил.

• Модуль 6.   Доставка уведомлений

  Практическая работа. Доставка почтового уведомления о неполадках источника событий.

• Модуль 7.   Установка системы обновлений UCS.
• Модуль 8.   Журналы и устранение неполадок.

  Итоговый тест.