Цель курса

Цель данного курса - изучение программного продукта IBM Security QRadar SIEM. IBM Security QRadar SIEM предоставляет возможность сбора, нормализации, корреляции и безопасного хранения событий, потоков, профилей устройств и уязвимостей. QRadar выполняет классификацию событий и на основе политик и правил создает инциденты. Инцидент призван предупредить администратора о вероятной атаке. Данный курс посвящен конфигурированию и администрированию QRadar SIEM, созданию Universal DSM модулей, расширений источников данных, созданию правил. С использованием навыков, полученных в результате прохождения курса, администратор сможет поддерживать QRadar SIEM, работать с источниками событий, анализировать инциденты, созданные в результате срабатывания правил, при необходимости - выполнять тонкую настройку.

Для кого предназначен этот курс

Аналитиков безопасности, архитекторов, сетевых администраторов, системных администраторов, работающих с QRadar SIEM

Для успешного прохождения курса слушатели должны

• Обладать базовыми знаниями в области IT инфраструктуры, быть знакомыми с основами IT безопасности, сетевыми технологиями, Linux, Windows, Syslog.

По окончании курса слушатели смогут:

• Описать, каким образом QRadar SIEM выполняет сбор данных для обнаружения подозрительных активностей
• Использовать и настаивать QRadar SIEM Dashboard
• Выполнять анализ потенциальных атак и политик
• Выполнять поиск, фильтрацию и анализ данных безопасности
• Исследовать уязвимости
• Работать с профилями устройств
• Анализировать правила обработки событий
• Использовать QRadar SIEM для построения отчетов
• Использовать графики и расширенные фильтры для исследования активностей IT среды
• Использовать инструменты Admin вкладки консоли QRadar для выполнения административных задач
• Выполнять построение сетевой иерархии для локальных и удаленных сетей
• Использовать административные инструменты для управления профилями устройств, индексами, множествами ссылок
• Настраивать аккаунты пользователей и удаленную аутентификацию
• Работать с резервным копированием, восстановлением данных
• Настраивать политики удаления данных
• Управлять источниками журналов и сетевых пакетов
• Интегрировать агенты для сбора Windows журналов с QRadar SIEM
• Создавать собственные источники журналов с использованием Universal DSM
• Работать с CRE правилами
• Создавать CRE и ADE правила
• Настраивать ложные срабатывания
• Работать с множествами ссылок в правилах
• Разрабатывать поисковые запросы с использованием AQL (Ariel Query Language)
• Выполнять мониторинг текущего состояния системы

Основные темы:

• Введение
• Знакомство с IBM Security QRadar SIEM
• Архитектура IBM QRadar SIEM. Организация потоков данных
• Интерфейс пользователя QRadar SIEM
• Упражнение: Интерфейс пользователя QRadar SIEM
• Исследование инцидентов, созданного на основе событий
• Упражнение: Исследование инцидентов, созданного на основе событий
• Изучение событий, по которым был создан инцидент
• Упражнение: Изучение событий, по которым был создан инцидент
• Профили устройств
• Анализ инцидентов, созданных на основе исследования сетевых потоков
• Упражнение: Анализ инцидентов, созданных на основе исследования сетевых потоков
• Использование правил
• Упражнение: Использование правил
• Сетевые иерархии
• Упражнение: Сетевые иерархии
• Индексы и управление накопленными данными (Aggregated Data Management)
• Упражнение: Индексы и управление накопленными данными (Aggregated Data Management)
• Информационные панели (Dashboard)
• Упражнение: Информационные панели (Dashboard)
• Создание отчетов
• Упражнение: Создание отчетов
• Использование фильтров
• Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
• Упражнение: Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
• Создание настраиваемых источников журналов
• Упражнение: Создание настраиваемых источников журналов
• Работа со ссылочными данными (Reference Data)
• Упражнение: Работа со ссылочными данными (Reference Data)
• Разработка правил
• Упражнение: Разработка правил
• Настройка автоматических обновлений
• Резервное копирование и восстановление
• Упражнение: Резервное копирование и восстановление
• Системные настройки QRadar SIEM
• Упражнение: Системные настройки QRadar SIEM
• Управление лицензиями
• Работа с Deployment Actions инструментом
• Настройка сред высокой доступности для QRadar SIEM
• Мониторинг текущего состояния системы (System Health)
• Упражнение: Мониторинг текущего состояния системы (System Health)
• Параметры системы. Конфигурация Asset Profiler
• Настройка списка причин закрытия инцидентов
• Хранение и пересылка данных
• Управление множествами ссылок (Reference Set)
• Упражнение: Управление множествами ссылок (Reference Set)
• Хранение аутентификационных данных в QRadar SIEM
• Упражнение: Хранение аутентификационных данных в QRadar SIEM
• Правила маршрутизации
• Управление доменами
• Упражнение: Управление доменами
• Пользователи, роли, профили безопасности
• Упражнение: Пользователи, роли, профили безопасности
• Настройка аутентификации. Авторизационные сервисы.
• Настраиваемые свойства для профилей устройств
• Источники журналов. Расширения. Группы.
• Упражнение: Источники журналов. Расширения. Группы.
• Порядок разбора записей источников журналов.
• Настраиваемые поля для журналов и сетевых пакетов
• Упражнение: Настраиваемые поля для журналов и сетевых пакетов
• Настройка устаревания для событий и сетевого траффика
• Источники сетевого траффика. Настройка ссылок.
• Упражнение: Источники сетевого траффика. Настройка ссылок.
• Интеграция со сканерами уязвимостей
• Упражнение: Интеграция со сканерами уязвимостей.
• Работа с удаленными сетями и сервисами
• Итоги