Курс: Развертывание и администрирование MaxPatrol SIEM

Дополнительная дата проведения курса: 01.12.2025-03.12.2025

Продолжительность курса: 24 ак. ч.

Описание курса:
Базовый курс, охватывающий основные возможности системы мониторинга и управления инцидентами информационной безопасности MaxPatrol SIEM и методологию ее использования для автоматизации задач управления событиями информационной безопасности. Рассматриваются вопросы внедрения и эксплуатации MaxPatrol SIEM.

Аудитория:
• Администраторы корпоративных сетей
• Администраторы безопасности
• Разработчики веб-приложений

Необходимая подготовка:
• Общее представление об архитектуре стека протоколов TCP/IP
• Базовые знания по сетевым технологиям
• Общее представление об информационной безопасности и основах построения защищенных корпоративных систем

Результат обучения:
После изучения курса слушатель будет знать:
• об архитектуре и принципах работы системы MaxPatrol SIEM;
• методологии применения MaxPatrol SIEM для мониторинга событий информационной безопасности и управления инцидентами на базе MaxPatrol SIEM.
После изучения курса слушатель будет уметь:
• проектировать системы мониторинга и аудита информационной безопасности на базе MaxPatrol с учетом сетевой топологии и особенностей системы управления информационной безопасностью;
• управлять задачами на подключение источников событий и задачами по сбору событий;
• работать с историей событий информационной системы;
• осуществлять администрирование и эксплуатацию системы MaxPatrol SIEM.

Программа курса:
Модуль 1. Назначение SIEM-системы. Упрощенное внедрение системы. Компоненты системы, потоки данных.
• Практическая работа 1. Установка системы, первичная настройка компонентов.

Модуль 2. Asset and vulnerability management. Метрики CVSSv2, CVSSv3. Контекстные метрики. БДУ ФСТЭК РФ.
• Практическая работа 2. Задачи, профили, активы:
• Часть 1. Обнаружение узлов в сети, журналы агента.
• Часть 2. Группы активов.
• Часть 3. Аудит Windows и Linux.
• Часть 4. Назначение контекстных метрик группам.
• Часть 5. Топология.

Модуль 3. Пользователи и роли.
• Практическая работа 3.Пользователи и роли, инфраструктуры.

Модуль 4. Сбор и работа с событиями PDQL и таксономия события.
• Практическая работа 4. Сбор событий:
• Часть 1. WinEventLog, WMInotification
• Часть 2. File via SSH
• Часть 3. Checkpoint Gaia 80.10 (необязательная работа)
• Часть 4. Kaspersky Security Center (необязательная работа)
• Часть 5. Группировка событий
• В рамках самостоятельных заданий:
• Сбор данных при помощи модуля FileMonitor SMB.
• Работа с системой поиска событий при помощи языка запросов PDQL

Модуль 5. Корреляции. Обзор системных правил корреляции.
• Практическая работа 5. Корреляции и генераторы
• Практическая работа 6. Сбор событий по протоколу syslog

Модуль 6. Инциденты и доставка уведомлений
• Практическая работа 7. Работа с инцидентами и почтовыми уведомлениями
• Часть 1. Работа с автоматически созданным инцидентом.
• Часть 2. Самостоятельное создание инцидента.

Модуль 7. Статистика и отчеты
• Практическая работа 8. Статистика и отчеты
• Часть 1. Статистика
• Часть 2. Построение отчетов

Модуль 8. Обзор документации. Журналы и решение проблем.
• Практическая работа 9. Решение проблем:
• Часть 1. Файлы журналов.
• Часть 2. Клиент к базе данных Elasticsearch.

Окончательная цена указывается в договоре на обучение.