Целевая аудиторияКурс ориентирован на инженеров технической и предпродажной поддержки.
Минимальные требования- Понимание основ сетевых технологий: TCP/IP, DNS, электронной почты, web
- Базовые навыки администрирования ОС Windows и Linux
- Базовые знания об информационной безопасности
- Представление о том, что такое регулярные выражения
Содержание курса1. Введение в SIEM2. Архитектура и принципы работы KUMA3. Установка- Лабораторная работа 1. Установить Kaspersky Unified Monitoring & Analysis Platform
4. Сбор событий4.1. Принцип работы коллектора
4.2. Настройки подключения и коннектора
4.3. Получение событий Windows
- Лабораторная работа 2. Настроить получение событий Windows
- Лабораторная работа 3. Настроить получение событий Kaspersky Security Center
- Лабораторная работа 4. Настроить получение событий KATA
5 Нормализация5.1. Модель данных KUMA
5.2. Настройки нормализатора
5.3. Преобразование данных
5.4. Дополнительные нормализаторы
6. Обработка событий коллектором6.1. Фильтрация
6.2. Агрегация
6.3. Обогащение
7. Интеграции7.1. Интеграция с Kaspersky Security Center и работа с активами
7.2. Интеграция с LDAP и работа с учетными записями
7.3. Интеграция с Kaspersky Threat Lookup
7.4. Интеграция с Kaspersky CyberTrace
7.5. Интеграция с Kaspersky Endpoint Detection and Response
- Лабораторная работа 5. Настроить получение событий KSWS
- Лабораторная работа 6. Настроить обогащение данными из DNS
- Лабораторная работа 7. Настроить обогащение событий данными GeoIP
- Лабораторная работа 8. Импортировать информацию о компьютерах из KSC
- Лабораторная работа 9. Настроить обогащение данными из LDAP
- Лабораторная работа 10. Настроить обогащение данными из CyberTrace
8. Работа с событиями9. Корреляция9.1. Виды правил корреляции
9.2. Простые правила корреляции
9.3. Стандартные корреляционные правила: селекторы, группы корреляции
9.4. Локальные и глобальные переменные
- Лабораторная работа 11. Создать простое корреляционное правило
- Лабораторная работа 12. Создать стандартное корреляционное правило
- Лабораторная работа 13. Настроить алерт на события в определенном порядке
9.5. Активные списки и операционные правила корреляции
9.6. Ретроспективный поиск
- Лабораторная работа 14. Создать техническое корреляционное правило для наполнения активного списка
- Лабораторная работа 15. Создать корреляционное правило с использованием активного списка
- Лабораторная работа 16. Создать корреляционное правило с использованием локальной переменной
- Лабораторная работа 17. Применить ретроспективный поиск
10. Работа с алертами11. Реагирование11.1. Реагирование задачей Kaspersky Security Center
11.2. Реагирование запуском скрипта
11.3. Реагирование задачей Kaspersky Endpoint Detection and Response
- Лабораторная работа 18. Настроить реагирование запуском задачи Kaspersky Security Center
- Лабораторная работа 19. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response
12.Отчетность12.1. Панели мониторинга
12.2. Отчеты
12.3. Метрики
- Лабораторная работа 20. Изучить отчетность
- Лабораторная работа 21. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (опционально)
13. Что нового в KUMA 2.1- Лабораторная работа 22. Обновить Kaspersky Unified Monitoring and Analysis до версии 2.1
- Лабораторная работа 23. Добавить актуальный контент из репозитория доступных обновлений Лаборатории Касперского
- Лабораторная работа 24. Настроить «холодное» хранение событий в Kaspersky Unified Monitoring and Analysis Platform