Курс KL 034.2.1: Kaspersky Unified Monitoring Analysis Platform (KUMA)
Цена для физических лиц, р.: 59000
Цена для юридических лиц, р.: 59000
Цена вебинара для физических лиц, р.: 59000
Цена вебинара для юридических лиц, р.: 59000
Продолжительность курса (дней): 3
Даты (день):
Даты (вечер):
Цель:
Kaspersky Unified Monitoring & Analysis Platform является решением класса SIEM, для сбора, хранения обработки, корреляции и визуализации разрозненных данных.
Курс знакомит с архитектурой и возможностями решения, рассказывает и показывает, как выполнить установку и настройку решения на многочисленных примерах.
Материалы курса включают слайды с описанием принципов работы и настройки, а также лабораторные работы для закрепления практических навыков настройки.
Необходимая подготовка:
Формат обучения, регистрация на курс:
План курса:
Модуль 1. Введение в SIEM
Модуль 2. Архитектура и принципы работы KUMA
Модуль 3. Установка
Лабораторная работа 1. Установить Kaspersky Unified Monitoring and Analysis Platform
Модуль 4. Сбор событий
4.1. Принцип работы коллектора
4.2. Настройки подключения и коннектора
4.3. Получение событий Windows
Лабораторная работа 2. Настроить получение событий Windows
Лабораторная работа 3. Настроить получение событий Kaspersky Security Center
Лабораторная работа 4. Настроить получение событий KATA
Модуль 5. Нормализация
5.1. Модель данных KUMA
5.2. Настройки нормализатора
5.3. Преобразование данных
5.4. Дополнительные нормализаторы
Модуль 6. Обработка событий коллектором
6.1. Фильтрация
6.2. Агрегация
6.3. Обогащение
Модуль 7. Интеграции
7.1. Интеграция с Kaspersky Security Center и работа с активами
7.2. Интеграция с LDAP и работа с учетными записями
7.3. Интеграция с Kaspersky Threat Lookup
7.4. Интеграция с Kaspersky CyberTrace
7.5. Интеграция с Kaspersky Endpoint Detection and Response
Лабораторная работа 5. Настроить получение событий KSWS
Лабораторная работа 6. Настроить обогащение данными из DNS
Лабораторная работа 7. Настроить обогащение событий данными GeoIP
Лабораторная работа 8. Импортировать информацию о компьютерах из KSC
Лабораторная работа 9. Настроить обогащение данными из LDAP
Лабораторная работа 10. Настроить обогащение данными из CyberTrace
Модуль 8. Работа с событиями
Модуль 9. Корреляция
9.1. Виды правил корреляции
9.2. Простые правила корреляции
9.3. Стандартные корреляционные правила: селекторы, группы корреляции
9.4. Локальные и глобальные переменные
Лабораторная работа 11. Создать простое корреляционное правило
Лабораторная работа 12. Создать стандартное корреляционное правило
Лабораторная работа 13. Настроить алерт на события в определенном порядке
9.5. Активные списки и операционные правила корреляции
9.6. Ретроспективный поиск
Лабораторная работа 14. Создать техническое корреляционное правило для наполнения активного списка
Лабораторная работа 15. Создать корреляционное правило с использованием активного списка
Лабораторная работа 16. Создать корреляционное правило с использованием локальной переменной
Лабораторная работа 17. Применить ретроспективный поиск
Модуль 10. Работа с алертами
Модуль 11. Реагирование
11.1. Реагирование задачей Kaspersky Security Center
11.2. Реагирование запуском скрипта
11.3. Реагирование задачей Kaspersky Endpoint Detection and Response
Лабораторная работа 18. Настроить реагирование запуском задачи Kaspersky Security Center
Лабораторная работа 19. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response
Модуль 12. Отчетность
12.1. Панели мониторинга
12.2. Отчеты
12.3. Метрики
Лабораторная работа 20. Изучить отчетность
Лабораторная работа 21. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (опционально)