Kaspersky Unified Monitoring and Analysis Platform (034.3.2) – Программа курса

Программа курса

Модуль 1. Введение в SIEM (1 ак. ч.)

  • Введение в SIEM
  • Введение в KUMA

Модуль 2. Архитектура и принципы работы KUMA (1 ак. ч.)

  • Архитектура KUMA
  • Принципы работы KUMA

Модуль 3. Установка (2 ак. ч.)

  • Варианты установки: all-in-one, распределенная, установка в режиме высокой доступности
  • Лабораторная работа 1: Установить Kaspersky Unified Monitoring and Analysis Platform

Модуль 4. Сбор событий (2 ак. ч.)

  • Принцип работы коллектора
  • Настройки подключения и коннектора
  • Получение событий
  • Лабораторная работа 2. Настроить получение событий из Windows Event Log
  • Лабораторная работа 3. Настроить получение событий из журнала Windows DNS Analytic (факультативно)
  • Лабораторная работа 4. Настроить получение событий Linux (факультативно)
  • Лабораторная работа 5. Настроить получение событий Kaspersky Security Center
  • Лабораторная работа 6. Настроить получение событий Kaspersky Anti Targeted Attack Platform

Модуль 5. Нормализация (2 ак. ч.)

  • Модель данных KUMA
  • Настройки нормализатора
  • Преобразование данных
  • Дополнительные нормализаторы

Модуль 6. Обработка событий коллектором (1 ак. ч.)

  • Фильтрация
  • Агрегация
  • Обогащение

Модуль 7. Интеграции (4 ак. ч.)

  • Интеграция с Kaspersky Security Center и работа с активами
  • Интеграция с LDAP и работа с учетными записями
  • Интеграция с Kaspersky Threat Lookup
  • Интеграция с Kaspersky CyberTrace
  • Интеграция с Kaspersky Kaspersky Endpoint Detection and Response
  • Лабораторная работа 7. Настроить получение EDR-телеметрии из KATA
  • Лабораторная работа 8. Настроить обогащение событий данными из DNS
  • Лабораторная работа 9. Настроить обогащение событий данными по GeoIP
  • Лабораторная работа 10. Импортировать информацию о компьютерах из Kaspersky Security Center
  • Лабораторная работа 11. Настроить обогащение событий с помощью Active Directory
  • Лабораторная работа 12. Настроить обогащение данными из CyberTrace
  • Лабораторная работа 13. Настроить «холодное» хранение событий в KUMA

Модуль 8. Работа с событиями (1 ак. ч.)

  • Принципы работы событий

Модуль 9. Корреляция (4 ак. ч.)

  • Виды правил корреляции
  • Локальные и глобальные переменные
  • Активные списки и операционные правила корреляции
  • Ретроспективный поиск
  • Лабораторная работа 14. Создать простое корреляционное правило
  • Лабораторная работа 15. Создать стандартное корреляционное правило
  • Лабораторная работа 16. Настроить алерт на события в определенном порядке
  • Лабораторная работа 17. Создать корреляционное правило с использованием локальной переменной
  • Лабораторная работа 18. Создать техническое корреляционное правило для наполнения активного списка
  • Лабораторная работа 19. Создать корреляционное правило с использованием активного списка
  • Лабораторная работа 20. Применить ретроспективный поиск

Модуль 10. Работа с алертами (1 ак. ч.)

  • Основные принципы

Модуль 11. Реагирование (2 ак. ч.)

  • Реагирование задачей Kaspersky Security Center
  • Реагирование запуском скрипта
  • Реагирование задачей Kaspersky Endpoint Detection and Response
  • Лабораторная работа 21. Настроить реагирование запуском задачи Kaspersky Security Center
  • Лабораторная работа 22. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response

Модуль 12. Отчетность (3 ак. ч.)

  • Панели мониторинга
  • Отчеты
  • Покрытие матрицы MITRE ATT&CK
  • Метрики
  • Лабораторная работа 23. Изучить отчетность
  • Лабораторная работа 24. Отправить запрос в KUMA через REST API (факультативно)
  • Лабораторная работа 25. Настройка Event router service (факультативно)
  • Лабораторная работа 26. Создание правила на основе функции вычисления энтропии (факультативно)