Основы IBM QRadar SIEM
Продолжительность: 24 академических часов.
Цель данного курса – изучение программного продукта IBM Security QRadar SIEM. IBM Security QRadar SIEM предоставляет возможность сбора, нормализации, корреляции и безопасного хранения событий, потоков, профилей устройств и уязвимостей. QRadar выполняет классификацию событий и на основе политик и правил создает инциденты. Инцидент призван предупредить администратора о вероятной атаке. Данный курс посвящен взаимодействию администратора и аналитика безопасности с QRadar SIEM, работе с источниками событий и сетевого траффика, анализу инцидентов, созданных в результате срабатывания правил, при необходимости – выполнению тонкой настройки. Курс также охватывает работу с поисковыми запросами различных уровней сложности, разработку правил, построение отчетов.
Для кого предназначен этот курс
Аналитиков безопасности, архитекторов, сетевых администраторов, системных администраторов, работающих с QRadar SIEM
Для успешного прохождения курса слушатели должны
- Обладать базовыми знаниями в области IT инфраструктуры, быть знакомыми с основами IT безопасности, сетевыми технологиями, Linux, Windows, Syslog.
По окончании курса слушатели смогут:
- Описать, каким образом QRadar SIEM выполняет сбор данных для обнаружения подозрительных активностей
- Использовать и настаивать QRadar SIEM Dashboard
- Выполнять анализ потенциальных атак и политик
- Выполнять поиск, фильтрацию и анализ данных безопасности
- Исследовать уязвимости
- Работать с профилями устройств
- Анализировать правила обработки событий
- Использовать QRadar SIEM для построения отчетов
- Использовать графики и расширенные фильтры для исследования активностей IT среды
- Использовать инструменты Admin вкладки консоли QRadar для выполнения отдельных административных задач
- Выполнять построение сетевой иерархии для локальных и удаленных сетей
- Использовать административные инструменты для управления профилями устройств, индексами, множествами ссылок
- Работать с резервным копированием, восстановлением данных
- Создавать собственные источники журналов с использованием Universal DSM
- Настраивать ложные срабатывания
- Работать с множествами ссылок в правилах
- Разрабатывать поисковые запросы с использованием AQL (Ariel Query Language)
- Выполнять мониторинг текущего состояния системы
Программа
- Введение
- Знакомство с IBM Security QRadar SIEM
- Архитектура IBM QRadar SIEM. Организация потоков данных
- Интерфейс пользователя QRadar SIEM
- Упражнение: Интерфейс пользователя QRadar SIEM
- Исследование инцидентов, созданного на основе событий
- Упражнение: Исследование инцидентов, созданного на основе событий
- Изучение событий, по которым был создан инцидент
- Упражнение: Изучение событий, по которым был создан инцидент
- Профили устройств
- Анализ инцидентов, созданных на основе исследования сетевых потоков
- Упражнение: Анализ инцидентов, созданных на основе исследования сетевых потоков
- Использование правил
- Упражнение: Использование правил
- Сетевые иерархии
- Упражнение: Сетевые иерархии
- Индексы и управление накопленными данными (Aggregated Data Management)
- Упражнение: Индексы и управление накопленными данными (Aggregated Data Management)
- Информационные панели (Dashboard)
- Упражнение: Информационные панели (Dashboard)
- Создание отчетов
- Упражнение: Создание отчетов
- Использование фильтров
- Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
- Упражнение: Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
- Создание настраиваемых источников журналов
- Упражнение: Создание настраиваемых источников журналов
- Работа со ссылочными данными (Reference Data)
- Упражнение: Работа со ссылочными данными (Reference Data)
- Разработка правил
- Упражнение: Разработка правил
- Резервное копирование и восстановление
- Упражнение: Резервное копирование и восстановление
- Системные настройки QRadar SIEM
- Упражнение: Системные настройки QRadar SIEM
- Управление лицензиями
- Работа с Deployment Actions инструментом
- Мониторинг текущего состояния системы (System Health)
- Упражнение: Мониторинг текущего состояния системы (System Health)
- Итоги
- Лекции 0
- Тесты 0
- Учебное время 50 hours
- Навык Все уровни
- Язык English
- Студенты 0
- Оценки Да