EGround
Редактор
- Сообщения
- 24.288
- Реакции
- 127
KL 034.2.1: Kaspersky Unified Monitoring and Analysis Platform [Специалист] [Шкарута А.О.]
Kaspersky Unified Monitoring and Analysis Platform — Специалист
Описание курса
Kaspersky Unified Monitoring and Analysis Platform (KUMA) является решением класса SIEM для сбора, хранения, обработки, корреляции и визуализации разрозненных данных.
Курс знакомит с архитектурой и возможностями решения, рассказывает и показывает, как выполнить установку и настройку решения на многочисленных примерах.
Материалы курса включают слайды с описанием принципов работы и настройки, а также лабораторные работы для закрепления практических навыков настройки.
Аудитория:
- Компании, пользующиеся решением KUMA, которым нужны эксперты в штате:
- Системные администраторы,
- инженеров технической и предпродажной поддержки
- cотрудники ИТ-отдела (маленькие, средние компании)
- Сотрудники ИБ-отдела (крупные компании)
- Компании дистрибьюторы и системные интеграторы, которым нужны сертифицированные специалисты:
- Архитекторы-проектировщики, инженеры и пресейл-инженеры
Вы научитесь
- разворачивать Kaspersky Unified Management and Analysis для демонстрации решения;
- настраивать получение событий из разных источников и в разных форматах;
- донастраивать нормализацию, агрегацию и обогащение событий согласно требованиям;
- настраивать корреляционные правила для обнаружения инцидентов;
- настравивать взаимодействие с внешними системами с целью обогащения событий и реагирования на инциденты;
- обрабатывать инциденты и вручную анализировать события;
- настраивать уведомления и создавать отчеты о работе решения.
Специалисты, обладающие этими знаниями и навыками, в настоящее время крайне востребованы.
Обучение по мировым стандартам позволяет нашим выпускникам работать в ведущих компаниях России и других стран. Они делают успешную карьеру и пользуются уважением работодателей.
Предварительная подготовка
Требуемая подготовка:
Для полноценного усвоения материала курса и эффективного выполнения лабораторных работ, слушатели должны обладать определенными знаниями и навыками в области информационных технологий:
- Понимание основ сетевых технологий: TCP/IP, DNS.
- Базовые навыки администрирования OS Windows.
- Базовые знания об информационной безопасности.
- Представление о том, что такое регулярные выражени
Рекомендуемая подготовка (необязательная):
Успешное окончание курса KL002.12.1: Kaspersky Endpoint Security and Management или эквивалентная подготовка.
Программа курса:
Модуль 1. Введение в SIEM (1 ак. ч.)
- Введение в SIEM
- Введение в KUMA
Модуль 2. Архитектура и принципы работы KUMA (1 ак. ч.)
- Архитектура KUMA
- Принципы работы KUMA
Модуль 3. Установка (2 ак. ч.)
- Требования для установки
- Лабораторная работа 1: установить Kaspersky Unified Monitoring and Analysis Platform
Модуль 4. Сбор событий (2 ак. ч.)
- Принцип работы коллектора
- Настройки подключения и коннектора
- Получение событий Windows
- Лабораторная работа 2. Настроить получение событий Windows
- Лабораторная работа 3. Настроить получение событий Kaspersky Security Center
- Лабораторная работа 4. Настроить получение событий KATA
Модуль 5. Нормализация (2 ак. ч.)
- Модель данных KUMA
- Настройки нормализатора
- Преобразование данных
- Дополнительные нормализаторы
Модуль 6. Обработка событий коллектором (1 ак. ч.)
- Фильтрация
- Агрегация
- Обогащение
Модуль 7. Интеграции (4 ак. ч.)
- Интеграция с Kaspersky Security Center и работа с активами
- Интеграция с LDAP и работа с учетными записями
- Интеграция с Kaspersky Threat Lookup
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Kaspersky Endpoint Detection and Response
- Лабораторная работа 5. Настроить получение событий KSWS
- Лабораторная работа 6. Настроить обогащение данными из DNS
- Лабораторная работа 7. Настроить обогащение событий данными GeoIP
- Лабораторная работа 8. Импортировать информацию о компьютерах из KSC
- Лабораторная работа 9. Настроить обогащение данными из LDAP
- Лабораторная работа 10. Настроить обогащение данными из CyberTrace
Модуль 8. Работа с событиями (1 ак. ч.)
- Принципы работы событий
Модуль 9. Корреляция (3 ак. ч.)
- Виды правил корреляции
- Простые правила корреляции
- Стандартные корреляционные правила: селекторы, группы корреляции
- Локальные и глобальные переменные
- Лабораторная работа 11. Создать простое корреляционное правило
- Лабораторная работа 12. Создать стандартное корреляционное правило
- Лабораторная работа 13. Настроить алерт на события в определенном порядке
- Активные списки и операционные правила корреляции
- Ретроспективный поиск
- Лабораторная работа 14. Создать техническое корреляционное правило для наполнения активного списка
- Лабораторная работа 15. Создать корреляционное правило с использованием активного списка
- Лабораторная работа 16. Создать корреляционное правило с использованием локальной переменной
- Лабораторная работа 17. Применить ретроспективный поиск
Модуль 10. Работа с алертами (1 ак. ч.)
- Основные принципы
Модуль 11. Реагирование (2 ак. ч.)
- Реагирование задачей Kaspersky Security Center
- Реагирование запуском скрипта
- Реагирование задачей Kaspersky Endpoint Detection and Response
- Лабораторная работа 18. Настроить реагирование запуском задачи Kaspersky Security Center
- Лабораторная работа 19. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response
Модуль 12. Отчетность (2 ак. ч.)
- Панели мониторинга
- Отчеты
- Метрики
- Лабораторная работа 20. Изучить отчетность
- Лабораторная работа 21. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (опционально)
Модуль 13. Что нового в KUMA 2.1 (2 ак. ч.)
- Лабораторная работа 22. Обновить Kaspersky Unified Monitoring and Analysis до версии 2.1
- Лабораторная работа 23. Добавить актуальный контент из репозитория доступных обновлений Лаборатории Касперского
- Лабораторная работа 24. Настроить «холодное» хранение событий в Kaspersky Unified Monitoring and Analysis Platform
Продажник:
