Развертывание и администрирование MaxPatrol SIEM

Код курса

ПТ13

Продолжительность

24 ак. часа (3 дня)

Вендор

Positive Technologies

Стоимость

90 000 

Форма обучения

Очно

Онлайн-трансляция

Тип программы

Практический курс

Ближайшая дата

02 - 04 декабря 2024

2300721

Развертывание и администрирование MaxPatrol SIEM

Код курса ПТ13, 3 дня

Статус

Авторизованный практический курс компании Positive Technologies.

Аннотация

Базовый курс, охватывающий основные возможности системы мониторинга и управления инцидентами информационной безопасности MaxPatrol SIEM и методологию ее использования для автоматизации задач управления событиями информационной безопасности. Рассматриваются вопросы внедрения и эксплуатации MaxPatrol SIEM.

В результате обучения

Вы узнаете:

  • об архитектуре и принципах работы системы MaxPatrol SIEM;
  • методологии применения MaxPatrol SIEM для мониторинга событий информационной безопасности и управления инцидентами на базе MaxPatrol SIEM.

Вы сможете:

  • проектировать системы мониторинга и аудита информационной безопасности на базе MaxPatrol с учетом сетевой топологии и особенностей системы управления информационной безопасностью;
  • управлять задачами на подключение источников событий и задачами по сбору событий;
  • работать с историей событий информационной системы;
  • осуществлять администрирование и эксплуатацию системы MaxPatrol SIEM.

Пакет слушателя

  • Авторизованное учебное пособие.
  • Комплект продуктов, использованных в рамках курса, документация к ним, технические замечания, FAQ и другие документы в электронном виде.

Дополнительно

После прохождения базового курса по MaxPatrol SIEM выпускники получают:

  • свидетельства об обучении Учебного центра "Информзащита",
  • сертификаты о прохождении авторизованного курса от компании Positive Technologies.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Курс является ступенью подготовки к экзамену PT-SIEM-CS.

Программа курса

  • Модуль 1.    Назначение SIEM-системы. Упрощенное внедрение системы. Компоненты системы, потоки данных.
  • Практическая работа 1. Установка системы, первичная настройка компонентов.
  • Модуль 2.    Asset and vulnerability management. Метрики CVSSv2, CVSSv3. Контекстные метрики. БДУ ФСТЭК РФ.
  • Практическая работа 2. Задачи, профили, активы:
  • Часть 1. Обнаружение узлов в сети, журналы агента.
  • Часть 2. Группы активов.
  • Часть 3. Аудит Windows и Linux.
  • Часть 4. Назначение контекстных метрик группам.
  • Часть 5. Топология.
  • Модуль 3.    Пользователи и роли.
  • Практическая работа 3.Пользователи и роли, инфраструктуры.
  • Модуль 4.   Сбор и работа с событиями. . PDQL и таксономия события.
  • Практическая работа 4. Сбор событий:
  • Часть 1. WinEventLog, WMInotification
  • Часть 2. File via SSH
  • Часть 3. Checkpoint Gaia 80.10 (необязательная работа)
  • Часть 4. Kaspersky Security Center (необязательная работа)
  • Часть 5. Группировка событий
  • В рамках самостоятельных заданий:
  • Сбор данных при помощи модуля FileMonitor SMB.
  • Работа с системой поиска событий при помощи языка запросов PDQL
  • Модуль 5.   Корреляции. Обзор системных правил корреляции.
  • Практическая работа 5. Корреляции и генераторы
  • Практическая работа 6. Сбор событий по протоколу syslog
  • Модуль 6.   Инциденты и доставка уведомлений
  • Практическая работа 7. Работа с инцидентами и почтовыми уведомлениями
  • Часть 1. Работа с автоматически созданным инцидентом.
  • Часть 2. Самостоятельное создание инцидента.
  • Модуль 7.   Статистика и отчеты
  • Практическая работа 8. Статистика и отчеты
  • Часть 1. Статистика
  • Часть 2. Построение отчетов
  • Модуль 8.   Обзор документации. Журналы и решение проблем.
  • Практическая работа 9. Решение проблем:
  • Часть 1. Файлы журналов.
  • Часть 2. Клиент к базе данных Elasticsearch.
    Для банкиров Форензика Защита ПДН Вакансия препода