/wps/contenthandler/!ut/p/digest!ua1x8DoU9ZTyMjvKVpn-oQ/pm/oid:--portletwindowid--@oid:Z6_9Q581O40J87Q50Q8PLTTHR30G1
/wps/contenthandler/!ut/p/digest!ua1x8DoU9ZTyMjvKVpn-oQ/um/secure/currentuser/profile?expandRefs=true
Основы, настройка и администрирование IBM Security QRadar SIEM V 7.2.5
IBM Security QRadar SIEM V 7.2.5 Foundations, Configuration and Administration
Код курса: BQ725
Продолжительность: 5 дней
Цена курса (очно): о возможности и стоимости обучения уточняйте информацию у менеджеров по телефону: +7 (727) 257-66-55.
Цена курса (удаленно): -
Язык материалов: en
Цель курса
Цель данного курса - изучение программного продукта IBM Security QRadar SIEM. IBM Security QRadar SIEM предоставляет возможность сбора, нормализации, корреляции и безопасного хранения событий, потоков, профилей устройств и уязвимостей. QRadar выполняет классификацию событий и на основе политик и правил создает инциденты. Инцидент призван предупредить администратора о вероятной атаке. Данный курс посвящен конфигурированию и администрированию QRadar SIEM, созданию Universal DSM модулей, расширений источников данных, созданию правил. С использованием навыков, полученных в результате прохождения курса, администратор сможет поддерживать QRadar SIEM, работать с источниками событий, анализировать инциденты, созданные в результате срабатывания правил, при необходимости - выполнять тонкую настройку.
Для кого предназначен этот курс
Аналитиков безопасности, архитекторов, сетевых администраторов, системных администраторов, работающих с QRadar SIEM
Для успешного прохождения курса слушатели должны
Обладать базовыми знаниями в области IT инфраструктуры, быть знакомыми с основами IT безопасности, сетевыми технологиями, Linux, Windows, Syslog.
По окончании курса слушатели смогут:
Описать, каким образом QRadar SIEM выполняет сбор данных для обнаружения подозрительных активностей
Использовать и настаивать QRadar SIEM Dashboard
Выполнять анализ потенциальных атак и политик
Выполнять поиск, фильтрацию и анализ данных безопасности
Исследовать уязвимости
Работать с профилями устройств
Анализировать правила обработки событий
Использовать QRadar SIEM для построения отчетов
Использовать графики и расширенные фильтры для исследования активностей IT среды
Использовать инструменты Admin вкладки консоли QRadar для выполнения административных задач
Выполнять построение сетевой иерархии для локальных и удаленных сетей
Использовать административные инструменты для управления профилями устройств, индексами, множествами ссылок
Настраивать аккаунты пользователей и удаленную аутентификацию
Работать с резервным копированием, восстановлением данных
Настраивать политики удаления данных
Управлять источниками журналов и сетевых пакетов
Интегрировать агенты для сбора Windows журналов с QRadar SIEM
Создавать собственные источники журналов с использованием Universal DSM
Работать с CRE правилами
Создавать CRE и ADE правила
Настраивать ложные срабатывания
Работать с множествами ссылок в правилах
Разрабатывать поисковые запросы с использованием AQL (Ariel Query Language)
Выполнять мониторинг текущего состояния системы
Основные темы:
Введение
Знакомство с IBM Security QRadar SIEM
Архитектура IBM QRadar SIEM. Организация потоков данных
Интерфейс пользователя QRadar SIEM
Упражнение: Интерфейс пользователя QRadar SIEM
Исследование инцидентов, созданного на основе событий
Упражнение: Исследование инцидентов, созданного на основе событий
Изучение событий, по которым был создан инцидент
Упражнение: Изучение событий, по которым был создан инцидент
Профили устройств
Анализ инцидентов, созданных на основе исследования сетевых потоков
Упражнение: Анализ инцидентов, созданных на основе исследования сетевых потоков
Использование правил
Упражнение: Использование правил
Сетевые иерархии
Упражнение: Сетевые иерархии
Индексы и управление накопленными данными (Aggregated Data Management)
Упражнение: Индексы и управление накопленными данными (Aggregated Data Management)
Информационные панели (Dashboard)
Упражнение: Информационные панели (Dashboard)
Создание отчетов
Упражнение: Создание отчетов
Использование фильтров
Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
Упражнение: Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
Создание настраиваемых источников журналов
Упражнение: Создание настраиваемых источников журналов
Работа со ссылочными данными (Reference Data)
Упражнение: Работа со ссылочными данными (Reference Data)
Разработка правил
Упражнение: Разработка правил
Настройка автоматических обновлений
Резервное копирование и восстановление
Упражнение: Резервное копирование и восстановление
Системные настройки QRadar SIEM
Упражнение: Системные настройки QRadar SIEM
Управление лицензиями
Работа с Deployment Actions инструментом
Настройка сред высокой доступности для QRadar SIEM
Мониторинг текущего состояния системы (System Health)
Упражнение: Мониторинг текущего состояния системы (System Health)
Параметры системы. Конфигурация Asset Profiler
Настройка списка причин закрытия инцидентов
Хранение и пересылка данных
Управление множествами ссылок (Reference Set)
Упражнение: Управление множествами ссылок (Reference Set)
Хранение аутентификационных данных в QRadar SIEM
Упражнение: Хранение аутентификационных данных в QRadar SIEM
Правила маршрутизации
Управление доменами
Упражнение: Управление доменами
Пользователи, роли, профили безопасности
Упражнение: Пользователи, роли, профили безопасности
Настройка аутентификации. Авторизационные сервисы.
Настраиваемые свойства для профилей устройств
Источники журналов. Расширения. Группы.
Упражнение: Источники журналов. Расширения. Группы.
Порядок разбора записей источников журналов.
Настраиваемые поля для журналов и сетевых пакетов
Упражнение: Настраиваемые поля для журналов и сетевых пакетов
Настройка устаревания для событий и сетевого траффика
Источники сетевого траффика. Настройка ссылок.
Упражнение: Источники сетевого траффика. Настройка ссылок.
Интеграция со сканерами уязвимостей
Упражнение: Интеграция со сканерами уязвимостей.
Работа с удаленными сетями и сервисами
Итоги