Уровень сложности:
Длительность курса: 32 ак.ч.
График обучения: 32 ак. часа, 4 занятия по 8 ак. часов или 8 занятий по 4 ак. часа
Аннотация
Целью изучения дисциплины «CS-EVENT. Обработка событий безопасности сети предприятия» является формирование у слушателей знаний и навыков, необходимых для использования IDS и SIEM-систем с целью сбора, накопления и анализа событий безопасности в современных компьютерных сетях.
Знания и умения, полученные в результате обучения
В результате освоения программы обучающийся должен уметь:
• Использовать сетевые системы обнаружения и предотвращения вторжений Snort, Suricata, Zeek;
• Использовать систему обнаружения вторжений OSSEC/Wazuh для комплексного наблюдения за безопасностью сетевых узлов.
В результате освоения программы обучающийся должен знать:
• назначение, функционал и принципы использования SIEM-систем;
• технологии журнализации и системы анализа файлов журнала для оценки состояния узлов.
В результате освоения программы обучающийся должен приобрести практический опыт:
• Использовать SIEM-системы Prelude и OSSIM для анализа событий безопасности сети.
Курсы связанных направлений
Сегодня занятий по этому курсу нет.
15 400 ₽
Расчёт стоимости с учётом возможных скидок
19 200 ₽
Скидки предоставляются в зависимости от количества слушателей,
суммы договора и других условий, оговариваемых с Заказчиком.
Расчёт стоимости с учётом возможных скидок представлен как справочная информация.
Фактический размер скидки может несколько отличаться из-за округления значения суммы.
Внимательно ознакомьтесь с условиями действующих
акций и скидок...
Тема 1. Источники событий, их сбор и обработка.
- Системы обнаружения и предотвращения вторжений.
- SIEM-системы.
- Журналы системных событий и аудита.
- Контроль целостности файлов.
- Обнаружение РПС.
- Аномалии сетевого трафика.
Лабораторные работы:
- Централизованный анализ сообщений журналов сетевых узлов
- Фиксация и анализ инцидентов безопасности средствами IDS и SIEM
Тема 2. HIDS OSSEC.
- Архитектура системы OSSEC и описание возможностей.
- Развертывание OSSEC на Windows и Linux-узлах.
- LIDS средствами OSSEC.
- FIC средствами OSSEC.
- RKC средствами OSSEC.
- Алерты OSSEC.
Лабораторные работы:
- Установка OSSEC
- Добавление агента в ОС Linux
- Добавление агента в ОС Windows
- Настройка и работа с OSSEC
Тема 3. Сетевая IDS/IPS-система Suricata.
- NIDS Suricata - архитектура системы.
- Установка, настройка.
- Синтаксис правил Snort/Suricata.
- Возможности Suricata по анализу прикладных протоколов.
- Работа Suricata в режиме IPS.
- Модули вывода Suricata.
Лабораторные работы:
- Установка, базовая настройка и проверка работы Suricata
- Написание правил Snort/Suricata
- Обнаружение сетевых атак средствами Suricata
Тема 4. SIEM-система Prelude SIEM.
- Архитектура системы Prelude.
- Развертывание и начальная настройка.
- Настройка сенсоров Prelude-SIEM.
Лабораторные работы:
- Развертывание и настройка Prelude SIEM.
- Получение сообщений журнализации средствами Prelude-LML.
- Получение сообщений журнала аудита.
- Настройка интеграции с OSSEC.
- Настройка интеграции c Suricata.
Тема 5. SIEM-система OSSIM.
- Архитектура OSSIM.
- Установка OSSIM.
- Настройка OSSIM.
Лабораторные работы:
- Установка OSSIM
- Подключение агентов OSSEC
- Подключение NIDS Suricata
- Анализ инцидентов безопасности
Тема 6. SIEM-система Wazuh и Elastic Stack.
- Архитектура Wazuh.
- Установка и начальная настройка компонент Wazuh.
- Создание отчетов и алертов.
Лабораторные работы:
- Установка агента и сервера Wazuh
- Установка компонент Elastic Stack
- Регистрация и управление агентами Wazuh
- Настройка и анализ алертов