Модуль 1. Позиционирование решения
Что умеет решение и кому оно будет полезно
Лицензирование решения
Модуль 2. Функционирование решения
Знакомство с основными функциональными блоками
Источники данных и представление результатов работы
Модуль 3. Особенности внедрения решения
Ограничения использования решения
Системные требования и масштабирование в соответствии с требованиями эксплуатации
Типичные топологии
Распределенная установка
Модуль 4. Установка и первоначальная настройка решения
Планирование развертывания решения
Установка серверов и агентов
Подключение установленных компонентов друг к другу
Подключение продукта к корпоративной сетевой инфраструктуре
Активация компонентов
О курсе KL 025.37: kaspersky anti targeted attack platform kaspersky endpoint detection and response
Теоретический материал и лабораторные работы дают слушателям необходимые знания и
навыки, благодаря которым слушатель сможет:
Приложения, рассматриваемые в курсе
— kaspersky anti targeted attack platform
— kaspersky endpoint detection and response
Целевая аудитория
Курс ориентирован на инженеров, в задачу которых входит внедрение, настройка и обслуживание решений Kaspersky Anti-Targeted Attack и Kaspersky Endpoint Detection and Response.
Минимальные требования
Понимание основ сетевых технологий: DNS, маршрутизации, электронной почты, Web. Базовые навыки администрирования Windows и Linux. Представление о современных угрозах и тенденциях развития информационных технологий.
Длительность
3 дня.
Описание курса
Традиционная защита основывается на допущении, часто неявном, что сеть не скомпрометирована и задача средств защиты — сохранить это состояние сети. Соответственно, традиционные инструменты защиты анализируют изменения состояния: что проходит по сети через периметр (сетевые экраны, DLP) и что меняется на компьютерах внутри периметра (средства защиты от вредоносных программ).
В современном ландшафте угроз куда вероятнее, что сеть уже скомпрометирована, но признаки атаки еще не удалось обнаружить. При таком допущении нужны совсем другие средства и методы противодействия угрозам, а также другие специалисты. Вместо обслуживания практически полностью автономных средств защиты новая стратегия предполагает создание Security Operations Center для постоянного активного поиска и противодействия угрозам.
Лаборатория Касперского предлагает Kaspersky Threat Management and Defense — комбинацию из сервисов и современных программных средств для поиска и анализа скрытых угроз. KTMD может стать основой для нового SOC или расширить арсенал средств в уже существующем.
Курс KL 025.37 посвящен программным средствам в составе KTMD: Kaspersky Anti Targeted Attack (KATA) Platform 3.7 и Kaspersky Endpoint Detection and Response (KEDR) 1.7.
По окончании курса участники будут понимать принципы работы KATA и KEDR, смогут развернуть решение для пилотной или промышленной эксплуатации, выполнить настройку и проверку работоспособности решения, а также продемонстрировать работу решения на примере тестового инцидента безопасности.
Модуль 5. Проверка работоспособности системы
Как убедиться в том, что все входные данные обрабатываются всеми системами безопасности
Как собрать данные о работе и имеющихся ошибках для передачи в службу технической поддержки
Как найти нужные файлы логов и конфигурационные файлы
Модуль 6. Демонстрация работы продукта
Как организовать демонстрацию возможностей продукта
Модуль 7. Дальнейшая настройка продукта
Настройка отправки уведомлений по Email
Интеграция с корпоративной SIEM-системой
Создание отчетов
Настройка исключений с помощью "Белых списков"
Формирование "VIP групп" для ограничения доступа к VIP-инцидентам
Создание правил и исключений для TAA модуля
Сканирование на наличие индикаторов компрометации (IOC)
Создание правил для модуля IDS
Создание правил для модуля YARA
Модуль 8. Обновление программного обеспечения
Поддерживаемые сценарии обновления продукта
Совместимость версий продукта
Процедура обновления программного обеспечения
Перенос данных при обновлении продукта
Лабораторные работы Модуля 4:
Установка Центрального узла
Установка и настройка сервера Sandbox
Подключения Центрального узла к серверу Sandbox
Установка лицензий
Создание пользователей
Развертывание ПО Endpoint Agent с помощью KSC
Подключение Endpoint Agent к центральному узлу с помощью KSC
Активация Endpoint Agent помощью KSC
Настройка KATA для обработки SPAN-трафика
Интеграция KATA с почтовой системой
Исключение SMTP из анализа SPAN трафика
Интеграция с прокси-серверами по ICAP
Лабораторные работы Модуля 5:
Проверка анализа SPAN-трафика
Проверка анализа ICAP-трафика
Проверка анализа SMTP-трафика
Проверка работоспособности модуля IDS
Проверка работоспособности модуля URL Reputation
Проверка работоспособности модуля AM
Проверка работоспособности модуля Sandbox
Проверка работоспособности модуля TAA
Проверка работоспособности модуля IOC Scan
Лабораторные работы Модуля 6:
Демонстрация возможностей KEDR: генерация предупреждений модулем TAA, поиск угроз на узлах сети, изоляция скомпрометированных узлах, настройка реакции на найденные угрозы на узлах сети
Демонстрация возможностей КАТА: генерация уведомлений на найденные угрозы в сетевом трафике, детектирование угроз KATA Sandbox
Изучение подробных результатов анализа файла в KATA Sandbox (Debug Info)
Лабораторные работы Модуля 7:
Создание пользовательских правил ТАА
Создание исключений ТАА
Импорт внешних правил Snort
Создание исключений для IDS
Создание пользовательских правил YARA
© 2022 Учебный Центр "ТОО Плюсмикро НС"