Управление событиями безопасности на базе решений компании Positive Technologies

Управление событиями безопасности на базе решений компании Positive Technologies

Код курса ПТ15, 2 дня

Статус

Авторизованный практический курс компании Positive Technologies

Аннотация

Расширенный курс, готовящий специалистов к самостоятельной работе с системой MaxPatrol SIEM, включая полноценную работу с источниками событий, включая сбор и нормализацию событий с произвольных источников. В курсе рассматриваются вопросы написания собственных правил корреляции, работу с табличными списками и вопросы диагностики работоспособности MaxPatrol SIEM.

В результате обучения

Вы приобретете знания:

• о таксономии событий;
• о принципах подключения новых источниках и написания правил нормализации;
• о синтаксисе правил корреляции;
• о возможностях, которые дает применение табличных списков.

Вы сможете:

• подключать сбор событий с любого источника;
• настраивать централизованное обновление MaxPatrol в распределенных сетях;
• писать собственные правила корреляции;
• восстанавливать работоспособность системы MaxPatrol SIEM в случае сбоев.

Пакет слушателя

• Авторизованное учебное пособие.
• Комплект продуктов, использованных в рамках курса, документация к ним, технические замечания, FAQ и другие документы в электронном виде.

Дополнительно

После прохождения курса выпускники получают:

• свидетельства об обучении Учебного центра "Информзащита",
• сертификаты о прохождении авторизованного курса от компании Positive Technologies.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Курс готовит к экзамену PT-SIEM-CP.

Программа курса

Модуль 1. Нормализация событий. Описание таксономии.
Практическая работа 1. Написание правила нормализации событий нестандартного источника. Построение графа нормализации.

Модуль 2. Корреляция, модельная корреляция. Язык создания правил корреляции.
Практическая работа 2. Модификация системных правил корреляции.
Практическая работа 3. Создание собственных правил корреляции.

Модуль 3. Работа с табличными списками.
Практическая работа 4. Создание правил корреляции с использованием табличных списков.

Модуль 4. Маршрутизация данных внутри системы. Диагностика работоспособности системы.
Практическая работа 5. Поиск неисправностей в системе.

Модуль 5. Резервное копирование и восстановление компонент MP SIEM.