Курс: Управление событиями безопасности на базе решений компании Positive Technologies
Курс: Управление событиями безопасности на базе решений компании Positive Technologies
Продолжительность курса: 16 ак. ч.
Описание курса:
Расширенный курс, готовящий специалистов к самостоятельной работе с системой MaxPatrol SIEM, включая полноценную работу с источниками событий, включая сбор и нормализацию событий с произвольных источников. В курсе рассматриваются вопросы написания собственных правил корреляции, работу с табличными списками и вопросы диагностики работоспособности MaxPatrol SIEM.
Аудитория:
• Аудиторы информационной безопасности.
• Консультанты и инженеры, ответственные за построение процессов мониторинга и аудита информационной безопасности.
• Администраторы безопасности, администраторы корпоративных сетей, специалисты в области информационных технологий.
Необходимая подготовка:
• Представление об архитектуре стека протоколов TCP/IP
• Базовые знания по сетевым технологиям
Результат обучения: После изучения курса слушатель будет знать:
• О таксономии событий.
• О принципах подключения новых источниках и написания правил нормализации.
• О синтаксисе правил корреляции.
• О возможностях, которые дает применение табличных списков.
После изучения курса слушатель будет уметь:
• Подключать сбор событий с любого источника.
• Настраивать централизованное обновление MaxPatrol в распределенных сетях.
• Писать собственные правила корреляции.
• Восстанавливать работоспособность системы MaxPatrol SIEM в случае сбоев.
Программа курса: Модуль 1. Нормализация событий. Описание таксономии.
• Практическая работа 1. Написание правила нормализации событий нестандартного источника. Построение графа нормализации.
Модуль 2. Корреляция, модельная корреляция. Язык создания правил корреляции.
• Практическая работа 2. Модификация системных правил корреляции.
• Практическая работа 3. Создание собственных правил корреляции.
Модуль 3. Работа с табличными списками.
• Практическая работа 4. Создание правил корреляции с использованием табличных списков.
Модуль 4. Маршрутизация данных внутри системы. Диагностика работоспособности системы.
• Практическая работа 5. Поиск неисправностей в системе.
Модуль 5. Резервное копирование и восстановление компонента MP SIEM.
