[specialist] Kaspersky Unified Monitoring and Analysis Platform

Sweet_Berry · 4 Ноя 2023

Kaspersky Unified Monitoring and Analysis Platform (KUMA) является решением класса SIEM для сбора, хранения, обработки, корреляции и визуализации разрозненных данных.

Курс знакомит с архитектурой и возможностями решения, рассказывает и показывает, как выполнить установку и настройку решения на многочисленных примерах.

Материалы курса включают слайды с описанием принципов работы и настройки, а также лабораторные работы для закрепления практических навыков настройки.

Аудитория:

Компании, пользующиеся решением KUMA, которым нужны эксперты в штате:
- Системные администраторы,
- инженеров технической и предпродажной поддержки
- cотрудники ИТ-отдела (маленькие, средние компании)
- Сотрудники ИБ-отдела (крупные компании)
Компании дистрибьюторы и системные интеграторы, которым нужны сертифицированные специалисты:
- Архитекторы-проектировщики, инженеры и пресейл-инженеры

Вы научитесь

разворачивать Kaspersky Unified Management and Analysis для демонстрации решения;
настраивать получение событий из разных источников и в разных форматах;
донастраивать нормализацию, агрегацию и обогащение событий согласно требованиям;
настраивать корреляционные правила для обнаружения инцидентов;
настравивать взаимодействие с внешними системами с целью обогащения событий и реагирования на инциденты;
обрабатывать инциденты и вручную анализировать события;
настраивать уведомления и создавать отчеты о работе решения.

Специалисты, обладающие этими знаниями и навыками, в настоящее время крайне востребованы.
Обучение по мировым стандартам позволяет нашим выпускникам работать в ведущих компаниях России и других стран. Они делают успешную карьеру и пользуются уважением работодателей.

Предварительная подготовка
Требуемая подготовка:
Для полноценного усвоения материала курса и эффективного выполнения лабораторных работ, слушатели должны обладать определенными знаниями и навыками в области информационных технологий:

Понимание основ сетевых технологий: TCP/IP, DNS.
Базовые навыки администрирования OS Windows.
Базовые знания об информационной безопасности.
Представление о том, что такое регулярные выражени

Рекомендуемая подготовка (необязательная):
Успешное окончание курса KL002.12.1: Kaspersky Endpoint Security and Management или эквивалентная подготовка.

Программа курса:
Модуль 1. Введение в SIEM (1 ак. ч.)

Введение в SIEM
Введение в KUMA

Модуль 2. Архитектура и принципы работы KUMA (1 ак. ч.)

Архитектура KUMA
Принципы работы KUMA

Модуль 3. Установка (2 ак. ч.)

Требования для установки
Лабораторная работа 1: установить Kaspersky Unified Monitoring and Analysis Platform

Модуль 4. Сбор событий (2 ак. ч.)

Принцип работы коллектора
Настройки подключения и коннектора
Получение событий Windows
Лабораторная работа 2. Настроить получение событий Windows
Лабораторная работа 3. Настроить получение событий Kaspersky Security Center
Лабораторная работа 4. Настроить получение событий KATA

Модуль 5. Нормализация (2 ак. ч.)

Модель данных KUMA
Настройки нормализатора
Преобразование данных
Дополнительные нормализаторы

Модуль 6. Обработка событий коллектором (1 ак. ч.)

Фильтрация
Агрегация
Обогащение

Модуль 7. Интеграции (4 ак. ч.)

Интеграция с Kaspersky Security Center и работа с активами
Интеграция с LDAP и работа с учетными записями
Интеграция с Kaspersky Threat Lookup
Интеграция с Kaspersky CyberTrace
Интеграция с Kaspersky Kaspersky Endpoint Detection and Response
Лабораторная работа 5. Настроить получение событий KSWS
Лабораторная работа 6. Настроить обогащение данными из DNS
Лабораторная работа 7. Настроить обогащение событий данными GeoIP
Лабораторная работа 8. Импортировать информацию о компьютерах из KSC
Лабораторная работа 9. Настроить обогащение данными из LDAP
Лабораторная работа 10. Настроить обогащение данными из CyberTrace

Модуль 8. Работа с событиями (1 ак. ч.)

Принципы работы событий

Модуль 9. Корреляция (3 ак. ч.)

Виды правил корреляции
Простые правила корреляции
Стандартные корреляционные правила: селекторы, группы корреляции
Локальные и глобальные переменные
Лабораторная работа 11. Создать простое корреляционное правило
Лабораторная работа 12. Создать стандартное корреляционное правило
Лабораторная работа 13. Настроить алерт на события в определенном порядке
Активные списки и операционные правила корреляции
Ретроспективный поиск
Лабораторная работа 14. Создать техническое корреляционное правило для наполнения активного списка
Лабораторная работа 15. Создать корреляционное правило с использованием активного списка
Лабораторная работа 16. Создать корреляционное правило с использованием локальной переменной
Лабораторная работа 17. Применить ретроспективный поиск

Модуль 10. Работа с алертами (1 ак. ч.)

Основные принципы

Модуль 11. Реагирование (2 ак. ч.)

Реагирование задачей Kaspersky Security Center
Реагирование запуском скрипта
Реагирование задачей Kaspersky Endpoint Detection and Response
Лабораторная работа 18. Настроить реагирование запуском задачи Kaspersky Security Center
Лабораторная работа 19. Настроить реагирование запуском задачи Kaspersky Endpoint Detection and Response

Модуль 12. Отчетность (2 ак. ч.)

Панели мониторинга
Отчеты
Метрики
Лабораторная работа 20. Изучить отчетность
Лабораторная работа 21. Отправить запрос в Kaspersky Unified Monitoring and Analysis Platform через REST API (опционально)

Модуль 13. Что нового в KUMA 2.1 (2 ак. ч.)

Лабораторная работа 22. Обновить Kaspersky Unified Monitoring and Analysis до версии 2.1
Лабораторная работа 23. Добавить актуальный контент из репозитория доступных обновлений Лаборатории Касперского
Лабораторная работа 24. Настроить «холодное» хранение событий в Kaspersky Unified Monitoring and Analysis Platform