Внедрение и развертывание системы мониторинга, сбора и анализа событий RuSIEM

Внедрение и развертывание системы мониторинга, сбора и анализа событий RuSIEM

Код курса РС01, 2 дня

Статус

Авторский практический курс компании RuSIEM

Аннотация

В процессе обучения слушатели подробно ознакомятся с вопросами внедрения и развертывания системы мониторинга, сбора и анализа событий RuSIEM. Получат необходимые знания и практические навыки по сценариям установки, настройки источников: пассивный и активный сбор, по вариантам архитектуры, по диагностике системы и оптимизации демонов, резервному копированию, кластеризации и многое другое.

Аудитория

• Специалисты, занимающиеся внедрением систем мониторинга, сбора и анализа событий.
• Администраторы безопасности, системные администраторы, инженеры, ответственные за настройку процессов мониторинга и аудита информационной безопасности в организации.

В результате обучения

Слушатели смогут самостоятельно разворачивать, администрировать и эксплуатировать SIEM-систему RuSIEM. Получат знания о структуре правил нормализации (парсеров) и базовые навыки составления правил корреляции, составлять фильтры по событиям и научаться диагностировать неисправности системы.

Пакет слушателя

• Презентации с обучения, файл с полезными командами для диагностики системы.

Дополнительно

После обучения и успешной сдачи итоговой аттестации, выпускники получают свидетельство Учебного центра «Информзащита» и сертификат компании RuSIEM.

Программа курса

День 1

• Описание формата вебинара
• RuSIEM
  • • Что такое SIEM
    • Нормализация (поля таксономии)
    • Корреляция (обзор конструктора правил)
    • Архитектура
    • Варианты установки
    • Системные требования

• Установка
  • Откуда взять скрипт установки
  • Варианты установки (в скрипте)
  • Факторы при планировании
  • Лабораторные требования
  • Лабораторная работа № 1
  • Проверка выполнения
• Источники
  • Подключение источников (способы подключение и т.д.)
  • Агент (архитектура, способы установки)
  • Просмотр событий; события syslog; вкладка «Источники»
    • Модули агента
    • Удаленный сбор (УЗ для сбора; настройки модуля)
    • Разбор нескольких модулей агента
• Поля событий
  • Определение
  • Поля host и hostname
  • Язык запросов lucene
  • Группировка
  • Метки времени: @timestamp и event.time
  • Лабораторная работа № 2
• Корреляция
  • Для чего нужна и как работает
  • Разбор правил корреляции
    • Начальная фильтрация
    • Группировка
    • Заполнение карточки
    • Описание операторов
    • Симптоматика в правилах
    • Работа со списками
    • Уведомление по правилу
    • Выполнение shell-команд
    • Содержимое события
• Промежуточная аттестация (в формате устного опроса)

День 2

• Учебный план на день
  • Разбор вопросов по итогам первого дня
  • Описание плана работ на второй день
  • Краткое повторение усвоенного материала
• Парсеры и разбор работы нормализации (frs_server)
  • Схема работы frs_server
  • Фильтрация событий на уровне frs_server
• Симптоматика и обогащение
  • Категоризация событий от разных вендоров (механизм симптоматики)
  • Задачи симптоматики (1 – категоризация событий; 2 – человека читаемое описание; 3 – вес события; 4 – пользовательские правила обогащения)
  • Разбор симптома
  • Группировка по симптомам (разбор события)
  • Лабораторная работа № 3
  • Проверка выполнения
• Ролевая модель и мультитенантность
  • Описание ролей
  • Мультитенантность
• Корреляция
  • Повторение материала по корреляции
  • Лабораторная работа № 4
  • Проверка выполнения
• Внутренние журналы и диагностические события системы. Поиск и устранение неполадок
  • Логи микросервисов RuSIEM
  • Логи БД RuSIEM
• Микросервисная архитектура
  • Типовые и кастомные схемы установки
  • База данных конфигураций микросервисов
  • Важные параметры конфигурации микросервисов
• API
  • Типовые задачи, решаемые при помощи API
  • Создание учетной записи и токена для работы с API
• Итоговая аттестация (в формате устного опроса)