Внедрение и развертывание системы мониторинга, сбора и анализа событий RuSIEM
-
Ближайшая дата
Индивидуальный график
-
Форма обучения
Вебинар
-
Код курса
RS01
-
Срок обучения
16 ак. ч. (2 дня)
-
Стоимость
52 000 ₽
О курсе
В процессе обучения слушатели подробно ознакомятся с вопросами внедрения и развертывания системы мониторинга, сбора и анализа событий RuSIEM. Получат необходимые знания и практические навыки по сценариям установки, настройки источников: пассивный и активный сбор, по вариантам архитектуры, по диагностике системы и оптимизации демонов, резервному копированию, кластеризации и многое другое
По итогам обучения
- Слушатели смогут самостоятельно разворачивать, администрировать и эксплуатировать SIEM-систему RuSIEM. Получат знания о структуре правил нормализации (парсеров) и базовые навыки составления правил корреляции, составлять фильтры по событиям и научаться диагностировать неисправности системы;
Подтверждение ваших навыков
После успешной сдачи зачета выпускники получают:
- Сертификат компании RuSIEM
- Свидетельство Учебного центра "Информзащита"
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Посмотреть образцы выдаваемых документовПрограмма курса
16 ак. ч. (2 дня)
-
Модуль 1
- Описание формата вебинара
- RuSIEM
- Что такое SIEM
- Нормализация (поля таксономии)
- Корреляция (обзор конструктора правил)
- Архитектура
- Варианты установки
- Системные требования
- Установка
- Откуда взять скрипт установки
- Варианты установки (в скрипте)
- Факторы при планировании
- Лабораторные требования
- Лабораторная работа № 1
- Проверка выполнения
- Источники
- Подключение источников (способы подключение и т.д.)
- Агент (архитектура, способы установки)
- Просмотр событий; события syslog; вкладка «Источники»
- Модули агента
- Удаленный сбор (УЗ для сбора; настройки модуля)
- Разбор нескольких модулей агента
- Поля событий
- Определение
- Поля host и hostname
- Язык запросов lucene
- Группировка
- Метки времени: @timestamp и event.time
- Лабораторная работа № 2
- Корреляция
- Для чего нужна и как работает
- Разбор правил корреляции
- Начальная фильтрация
- Группировка
- Заполнение карточки
- Описание операторов
- Симптоматика в правилах
- Работа со списками
- Уведомление по правилу
- Выполнение shell-команд
- Содержимое события
- Промежуточная аттестация (в формате устного опроса)
-
Модуль 2
- Учебный план на день
- Разбор вопросов по итогам первого дня
- Описание плана работ на второй день
- Краткое повторение усвоенного материала
- Парсеры и разбор работы нормализации (frs_server)
- Схема работы frs_server
- Фильтрация событий на уровне frs_server
- Симптоматика и обогащение
- Категоризация событий от разных вендоров (механизм симптоматики)
- Задачи симптоматики (1 – категоризация событий; 2 – человека читаемое описание; 3 – вес события; 4 – пользовательские правила обогащения)
- Разбор симптома
- Группировка по симптомам (разбор события)
- Лабораторная работа № 3
- Проверка выполнения
- Ролевая модель и мультитенантность
- Описание ролей
- Мультитенантность
- Корреляция
- Повторение материала по корреляции
- Лабораторная работа № 4
- Проверка выполнения
- Внутренние журналы и диагностические события системы. Поиск и устранение неполадок
- Логи микросервисов RuSIEM
- Логи БД RuSIEM
- Микросервисная архитектура
- Типовые и кастомные схемы установки
- База данных конфигураций микросервисов
- Важные параметры конфигурации микросервисов
- API
- Типовые задачи, решаемые при помощи API
- Создание учетной записи и токена для работы с API
- Итоговая аттестация (в формате устного опроса)
- Учебный план на день
Расписание курса «Внедрение и развертывание системы мониторинга, сбора и анализа событий RuSIEM» (RS01)
Записаться на курс
Внедрение и развертывание системы мониторинга, сбора и анализа событий RuSIEM (RS01)
-
Форма обучения
Вебинар
-
Стоимость
52000 ₽
