Управление событиями безопасности на базе решений компании Positive Technologies

Расширенный курс, готовящий специалистов к самостоятельной работе с системой MaxPatrol SIEM, включая полноценную работу с источниками событий, включая сбор и нормализацию событий с произвольных источников. В курсе рассматриваются вопросы написания собственных правил корреляции, работу с табличными списками и вопросы диагностики работоспособности MaxPatrol SIEM.

Ближайшие даты обучения в 2023 году:

Формат обучения: дистанционный

Приобретаемые знания и навыки

Вы приобретете знания:

о таксономии событий;
о принципах подключения новых источниках и написания правил нормализации;
о синтаксисе правил корреляции;
о возможностях, которые дает применение табличных списков.

Вы сможете:

подключать сбор событий с любого источника;
настраивать централизованное обновление MaxPatrol в распределенных сетях;
писать собственные правила корреляции;
восстанавливать работоспособность системы MaxPatrol SIEM в случае сбоев.

Программа курса

Модуль 1. Нормализация событий. Описание таксономии.
Практическая работа 1. Написание правила нормализации событий нестандартного источника. Построение графа нормализации.

Модуль 2. Корреляция, модельная корреляция. Язык создания правил корреляции.
Практическая работа 2. Модификация системных правил корреляции.
Практическая работа 3. Создание собственных правил корреляции.

Модуль 3. Работа с табличными списками.
Практическая работа 4. Создание правил корреляции с использованием табличных списков.

Модуль 4. Маршрутизация данных внутри системы. Диагностика работоспособности системы.
Практическая работа 5. Поиск неисправностей в системе.

Модуль 5. Резервное копирование и восстановление компонент MP SIEM.

Материалы слушателя

Авторизованное учебное пособие.
Комплект продуктов, использованных в рамках курса, документация к ним, технические замечания, FAQ и другие документы в электронном виде.