Kaspersky Unified Monitoring & Analysis Platform

Курс KL 034.2

Kaspersky Unified Monitoring and Analysis Platform (KUMA) является решением класса SIEM, для сбора, хранения обработки, корреляции и визуализации разрозненных данных.

Курс знакомит с архитектурой и возможностями решения, рассказывает и показывает, как выполнить установку и настройку решения на многочисленных примерах.

Материалы курса включают слайды с описанием принципов работы и настройки, а также лабораторные работы для закрепления практических навыков настройки.

Приобретаемые знания и навыки

По окончании курса слушатели смогут:

  • Развернуть Kaspersky Unified Management & Analysis для демонстрации решения
  • Настроить получение событий из разных источников и в разных форматах
  • Донастроить нормализацию, агрегацию и обогащение событий согласно требованиям
  • Настроить корреляционные правила для обнаружения инцидентов
  • Настроить взаимодействие с внешними системами с целью обогащения событий и реагирования на инциденты
  • Обработать инциденты и вручную проанализировать события
  • Настроить уведомления и создать отчеты о работе решения

Предварительные требования

Курс ориентирован на инженеров технической и предпродажной поддержки. От участников требуется:

  • Понимание основ сетевых технологий: TCP/IP, DNS, электронной почты, web
  • Базовые навыки администрирования ОС Windows и Linux
  • Базовые знания об информационной безопасности
  • Представление о том, что такое регулярные выражения

Изучаемые продукты

Основной продукт:

  • Kaspersky Unified Monitoring and Analysis (KUMA) Platform 2.0.1

Смежные продукты, выступающие источниками событий, источниками данных для обогащения и средствами реагирования в лабораторных работах:

  • Kaspersky Security Center 14
  • Kaspersky Endpoint Security 11.10
  • Kaspersky Security for Windows Server 11.1
  • Kaspersky Anti Targeted Attack Platform 4.1

Смежные продукты, выступающие источниками данных для обогащения в теоретических материалах:

  • Kaspersky CyberTrace 4.1
  • Kaspersky Threat Lookup

Программа курса

1. Введение в SIEM

2. Архитектура и принципы работы KUMA

3. Установка

  • Лабораторная работа 1. Установить Kaspersky Unified Monitoring & Analysis Platform

4. Сбор событий

4.1. Принцип работы коллектора

4.2. Настройки подключения и коннектора

4.3. Получение событий Windows

  • Лабораторная работа 2. Настроить получение событий Windows
  • Лабораторная работа 3. Настроить получение событий Kaspersky Security Center
  • Лабораторная работа 4. Настроить получение событий KATA

5. Нормализация

5.1. Модель данных KUMA

5.2. Настройки нормализатора

5.3. Преобразование (мутация) данных

5.4. Дополнительные нормализаторы

6. Обработка событий коллектором

6.1. Фильтрация

6.2. Агрегация

6.3. Обогащение

7. Интеграции

7.1. Интеграция с Kaspersky Security Center и работа с активами

7.2. Интеграция с LDAP и работа с учетными записями

7.3. Интеграция с Kaspersky Threat Lookup

7.4. Интеграция с Kaspersky CyberTrace

7.5. Интеграция с Kaspersky Endpoint Detection and Response

  • Лабораторная работа 5. Настроить получение событий KSWS
  • Лабораторная работа 6. Настроить обогащение данными из DNS
  • Лабораторная работа 7. Настроить обогащение событий данными GeoIP
  • Лабораторная работа 8. Импортировать информацию о компьютерах из KSC
  • Лабораторная работа 9. Настроить подключение к Active Directory
  • Лабораторная работа 10. Настроить обогащение данными из CyberTrace

8. Работа с событиями

9. Корреляция

9.1. Виды правил корреляции

9.2. Простые правила корреляции

9.3. Стандартные корреляционные правила: селекторы, группы корреляции

9.4. Локальные и глобальные переменные

 

  • Лабораторная работа 11. Создать простое корреляционное правило
  • Лабораторная работа 12. Создать стандартное корреляционное правило
  • Лабораторная работа 13. Настроить алерт на события в определенном порядке
    Лабораторная работа 14. Создать корреляционное правило с использованием локальной переменной

9.5. Активные списки и операционные правила корреляции

9.6. Ретроспективный поиск

  • Лабораторная работа 15. Создать техническое корреляционное правило для наполнения активного списка
  • Лабораторная работа 16. Создать корреляционное правило с использованием активного списка
  • Лабораторная работа 17. Применить ретроспективный поиск

10. Работа с алертами

11. Реагирование

11.1. Реагирование задачей Kaspersky Security Center
11.2. Реагирование запуском скрипта
11.3. Реагирование задачей Kaspersky Endpoint Detection and Response

  • Лабораторная работа 18. Настроить реагирование запуском задачи Kaspersky Security Center
    Лабораторная работа 19. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response

12. Отчетность

12.1. Мониторинг

12.2. Отчеты

12.3. Метрики

  • Лабораторная работа 18. Изучить отчетность

Документы об окончании курса

  • Сертификат Kaspersky Lab об окончании авторизованного курса
  • Сертификат Учебного центра Softline и cправка об обучении установленного государством образца

 kaspersky certificate  Ð¡ÐµÑ€Ñ‚ификат Softline_образец  Cправка

Оставить отзыв

Информация о курсе

набор группы (январь-февраль)
10:00 - 17:00
Вендор: Kaspersky Lab
Код курса: KL 034.2
Продолжительность: 2 дня / 16 ак. часов
Направление: Другие продукты
Экзамен:
Записаться на курс

Название курса и комментарии*

Имя*

Фамилия*

Отчество*

Компания

Телефон*

Email*

Настоящим, в соответствии с ч.2.ст.18 Закона Республики Беларусь от 10.11.2008 N 455-З(ред. от 11.05.2016) "Об информации, информатизации и защите информации" и Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных», отправляя данную форму, вы подтверждаете свое согласие на сбор, обработку и хранение ООО «СофтЛайнБел» Ваших персональных данных. ООО «СофтЛайнБел» гарантирует конфиденциальность получаемой от Вас информации. Сбор, обработка и хранение персональных данных осуществляется в целях эффективного оказания услуг и исполнения договоров.