Развертывание и администрирование MaxPatrol SIEM
Код курса
ПТ13
Продолжительность
24 ак. часа (3 дня)
Вендор
Positive Technologies
Стоимость
90 000 ₽
Форма обучения
Очно
Онлайн-трансляция
Тип программы
Практический курс
Ближайшая дата
02 - 04 декабря 2024
Развертывание и администрирование MaxPatrol SIEM
Код курса ПТ13, 3 дня
Статус
Авторизованный практический курс компании Positive Technologies.
Аннотация
Базовый курс, охватывающий основные возможности системы мониторинга и управления инцидентами информационной безопасности MaxPatrol SIEM и методологию ее использования для автоматизации задач управления событиями информационной безопасности. Рассматриваются вопросы внедрения и эксплуатации MaxPatrol SIEM.
В результате обучения
Вы узнаете:
- об архитектуре и принципах работы системы MaxPatrol SIEM;
- методологии применения MaxPatrol SIEM для мониторинга событий информационной безопасности и управления инцидентами на базе MaxPatrol SIEM.
Вы сможете:
- проектировать системы мониторинга и аудита информационной безопасности на базе MaxPatrol с учетом сетевой топологии и особенностей системы управления информационной безопасностью;
- управлять задачами на подключение источников событий и задачами по сбору событий;
- работать с историей событий информационной системы;
- осуществлять администрирование и эксплуатацию системы MaxPatrol SIEM.
Пакет слушателя
- Авторизованное учебное пособие.
- Комплект продуктов, использованных в рамках курса, документация к ним, технические замечания, FAQ и другие документы в электронном виде.
Дополнительно
После прохождения базового курса по MaxPatrol SIEM выпускники получают:
- свидетельства об обучении Учебного центра "Информзащита",
- сертификаты о прохождении авторизованного курса от компании Positive Technologies.
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Курс является ступенью подготовки к экзамену PT-SIEM-CS.
Программа курса
- Модуль 1. Назначение SIEM-системы. Упрощенное внедрение системы. Компоненты системы, потоки данных.
- Практическая работа 1. Установка системы, первичная настройка компонентов.
- Модуль 2. Asset and vulnerability management. Метрики CVSSv2, CVSSv3. Контекстные метрики. БДУ ФСТЭК РФ.
- Практическая работа 2. Задачи, профили, активы:
- Часть 1. Обнаружение узлов в сети, журналы агента.
- Часть 2. Группы активов.
- Часть 3. Аудит Windows и Linux.
- Часть 4. Назначение контекстных метрик группам.
- Часть 5. Топология.
- Модуль 3. Пользователи и роли.
- Практическая работа 3.Пользователи и роли, инфраструктуры.
- Модуль 4. Сбор и работа с событиями. . PDQL и таксономия события.
- Практическая работа 4. Сбор событий:
- Часть 1. WinEventLog, WMInotification
- Часть 2. File via SSH
- Часть 3. Checkpoint Gaia 80.10 (необязательная работа)
- Часть 4. Kaspersky Security Center (необязательная работа)
- Часть 5. Группировка событий
- В рамках самостоятельных заданий:
- Сбор данных при помощи модуля FileMonitor SMB.
- Работа с системой поиска событий при помощи языка запросов PDQL
- Модуль 5. Корреляции. Обзор системных правил корреляции.
- Практическая работа 5. Корреляции и генераторы
- Практическая работа 6. Сбор событий по протоколу syslog
- Модуль 6. Инциденты и доставка уведомлений
- Практическая работа 7. Работа с инцидентами и почтовыми уведомлениями
- Часть 1. Работа с автоматически созданным инцидентом.
- Часть 2. Самостоятельное создание инцидента.
- Модуль 7. Статистика и отчеты
- Практическая работа 8. Статистика и отчеты
- Часть 1. Статистика
- Часть 2. Построение отчетов
- Модуль 8. Обзор документации. Журналы и решение проблем.
- Практическая работа 9. Решение проблем:
- Часть 1. Файлы журналов.
- Часть 2. Клиент к базе данных Elasticsearch.