Курс: Kaspersky Unified Monitoring and Analysis Platform

  4. Курс: Kaspersky Unified Monitoring and Analysis Platform
Курс: Kaspersky Unified Monitoring and Analysis Platform

Курс: Kaspersky Unified Monitoring and Analysis Platform


Продолжительность курса: 24 ак. ч.

Описание курса:
Kaspersky Unified Monitoring & Analysis Platform является решением класса SIEM для сбора, хранения, обработки, корреляции и визуализации разрозненных данных.
Курс знакомит с архитектурой и возможностями решения, рассказывает и показывает, как выполнить установку и настройку решения на многочисленных примерах.
Материалы курса включают слайды с описанием принципов работы и настройки, а также лабораторные работы для закрепления практических навыков настройки.

Аудитория:
• инженеры технической и предпродажной поддержки

Необходимая подготовка:
• Понимание основ сетевых технологий: TCP/IP, DNS, электронной почты, web
• Базовые навыки администрирования ОС Windows и Linux
• Базовые знания об информационной безопасности
• Представление о том, что такое регулярные выражения

Программа курса:
Модуль 1. Общие сведения
• Введение в SIEM
• Введение в KUMA

Модуль 2. Архитектура и принципы работы KUMA
• Архитектура KUMA
• Принципы работы KUMA

Модуль 3. Установка
• Варианты установки: all-in-one, распределенная, установка в режиме высокой доступности

Модуль 4. Сбор событий
• Принцип работы коллектора
• Настройки подключения и коннектора
• Получение событий

Модуль 5. Нормализация
• Модель данных KUMA
• Настройки нормализатора
• Преобразование данных
• Дополнительные нормализаторы

Модуль 6. Обработка событий коллектором
• Фильтрация
• Агрегация
• Обогащение

Модуль 7. Интеграции
• Интеграция с Kaspersky Security Center и работа с активами
• Интеграция с LDAP и работа с учетными записями
• Интеграция с Kaspersky Threat Lookup
• Интеграция с Kaspersky CyberTrace
• Интеграция с Kaspersky Kaspersky Endpoint Detection and Response

Модуль 8. Работа с событиями
• Принципы работы событий

Модуль 9. Корреляция
• Виды правил корреляции
• Простые правила корреляции
• Локальные и глобальные переменные
• Активные списки
• Ретроспективный поиск

Модуль 10. Работа с алертами
• Основные принципы

Модуль 11. Реагирование
• Реагирование задачей Kaspersky Security Center
• Реагирование запуском скрипта
• Реагирование задачей Kaspersky Endpoint Detection and Response

Модуль 12. Отчетность
• Панели мониторинга
• Отчеты
• Покрытие матрицы MITRE ATT&CK
• Метрики
• Лабораторная работа 1. Установить Kaspersky Unified Monitoring and Analysis Platform
• Лабораторная работа 2. Настроить получение событий из Windows Event Log
• Лабораторная работа 3. Настроить получение событий из журнала Windows DNS Analytic (факультативно)
• Лабораторная работа 4. Настроить получение событий Linux (факультативно)
• Лабораторная работа 5. Настроить получение событий Kaspersky Security Center
• Лабораторная работа 6. Настроить получение событий Kaspersky Anti Targeted Attack Platform
• Лабораторная работа 7. Настроить получение EDR-телеметрии из KATA
• Лабораторная работа 8. Настроить обогащение событий данными из DNS
• Лабораторная работа 9. Настроить обогащение событий данными по GeoIP
• Лабораторная работа 10. Импортировать информацию о компьютерах из Kaspersky Security Center
• Лабораторная работа 11. Настроить обогащение событий с помощью Active Directory
• Лабораторная работа 12. Настроить обогащение данными из CyberTrace
• Лабораторная работа 13. Настроить ≪холодное≫ хранение событий в KUMA
• Лабораторная работа 14. Создать простое корреляционное правило
• Лабораторная работа 15. Создать стандартное корреляционное правило
• Лабораторная работа 16. Настроить алерт на события в определенном порядке
• Лабораторная работа 17. Создать корреляционное правило с использованием локальной переменной
• Лабораторная работа 18. Создать техническое корреляционное правило для наполнения активного списка
• Лабораторная работа 19. Создать корреляционное правило с использованием активного списка
• Лабораторная работа 20. Применить ретроспективный поиск
• Лабораторная работа 21. Настроить реагирование запуском задачи Kaspersky Security Center
• Лабораторная работа 22. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response
• Лабораторная работа 23. Изучить отчетность
• Лабораторная работа 24. Отправить запрос в KUMA через REST API (факультативно)
• Лабораторная работа 25. Настройка Event router service (факультативно)
• Лабораторная работа 26. Создание правила на основе функции вычисления энтропии (факультативно)

Окончательная цена указывается в договоре на обучение. Записаться на курс

Характеристики курса

  • Начало: Ведется набор
  • Вендор: Kaspersky
  • Код курса: KSP22
  • Город: Пермь, Москва,
  • Направление: Курсы для IT-специалистов
  • Академических часов: 24
  • Количество мест: 8
  • Очно: 90900 ₽
  • Дистанционно: 90900 ₽
Записаться на курс

Курсы повышения квалификации
и профессиональной переподготовки


График работы:
Мы отвечаем на звонки и письма в будние дни с 7:00 до 16:00 по Мск

8 800 (600)-66-16

Владелец сайта:
АНО ДПО «Учебный центр «ШИФТ»
ИНН 5904355180
ОГРН 1175958039586
Юридический адрес: 614010, г. Пермь, ул. Клары Цеткин, д. 14, офис 32.
E-mail: info@eshift.ru