Основы, настройка и администрирование IBM Security QRadar SIEM V 7.2.5
Описание курса
Цель данного курса - изучение программного продукта IBM Security QRadar SIEM. IBM Security QRadar SIEM предоставляет возможность сбора, нормализации, корреляции и безопасного хранения событий, потоков, профилей устройств и уязвимостей. QRadar выполняет классификацию событий и на основе политик и правил создает инциденты. Инцидент призван предупредить администратора о вероятной атаке. Данный курс посвящен конфигурированию и администрированию QRadar SIEM, созданию Universal DSM модулей, расширений источников данных, созданию правил. С использованием навыков, полученных в результате прохождения курса, администратор сможет поддерживать QRadar SIEM, работать с источниками событий, анализировать инциденты, созданные в результате срабатывания правил, при необходимости - выполнять тонкую настройку.
Целевая аудитория
Аналитиков безопасности, архитекторов, сетевых администраторов, системных администраторов, работающих с QRadar SIEMМинимальные требования
Обладать базовыми знаниями в области IT инфраструктуры, быть знакомыми с основами IT безопасности, сетевыми технологиями, Linux, Windows, SyslogСодержание курса
- Введение
- Знакомство с IBM Security QRadar SIEM
- Архитектура IBM QRadar SIEM. Организация потоков данных
- Интерфейс пользователя QRadar SIEM
- Упражнение: Интерфейс пользователя QRadar SIEM
- Исследование инцидентов, созданного на основе событий
- Упражнение: Исследование инцидентов, созданного на основе событий
- Изучение событий, по которым был создан инцидент
- Упражнение: Изучение событий, по которым был создан инцидент
- Профили устройств
- Анализ инцидентов, созданных на основе исследования сетевых потоков
- Упражнение: Анализ инцидентов, созданных на основе исследования сетевых потоков
- Использование правил
- Упражнение: Использование правил
- Сетевые иерархии
- Упражнение: Сетевые иерархии
- Индексы и управление накопленными данными (Aggregated Data Management)
- Упражнение: Индексы и управление накопленными данными (Aggregated Data Management)
- Информационные панели (Dashboard)
- Упражнение: Информационные панели (Dashboard)
- Создание отчетов
- Упражнение: Создание отчетов
- Использование фильтров
- Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
- Упражнение: Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
- Создание настраиваемых источников журналов
- Упражнение: Создание настраиваемых источников журналов
- Работа со ссылочными данными (Reference Data)
- Упражнение: Работа со ссылочными данными (Reference Data)
- Разработка правил
- Упражнение: Разработка правил
- Настройка автоматических обновлений
- Резервное копирование и восстановление
- Упражнение: Резервное копирование и восстановление
- Системные настройки QRadar SIEM
- Упражнение: Системные настройки QRadar SIEM
- Управление лицензиями
- Работа с Deployment Actions инструментом
- Настройка сред высокой доступности для QRadar SIEM
- Мониторинг текущего состояния системы (System Health)
- Упражнение: Мониторинг текущего состояния системы (System Health)
- Параметры системы. Конфигурация Asset Profiler
- Настройка списка причин закрытия инцидентов
- Хранение и пересылка данных
- Управление множествами ссылок (Reference Set)
- Упражнение: Управление множествами ссылок (Reference Set)
- Хранение аутентификационных данных в QRadar SIEM
- Упражнение: Хранение аутентификационных данных в QRadar SIEM
- Правила маршрутизации
- Управление доменами
- Упражнение: Управление доменами
- Пользователи, роли, профили безопасности
- Упражнение: Пользователи, роли, профили безопасности
- Настройка аутентификации. Авторизационные сервисы.
- Настраиваемые свойства для профилей устройств
- Источники журналов. Расширения. Группы.
- Упражнение: Источники журналов. Расширения. Группы.
- Порядок разбора записей источников журналов.
- Настраиваемые поля для журналов и сетевых пакетов
- Упражнение: Настраиваемые поля для журналов и сетевых пакетов
- Настройка устаревания для событий и сетевого траффика
- Источники сетевого траффика. Настройка ссылок.
- Упражнение: Источники сетевого траффика. Настройка ссылок.
- Интеграция со сканерами уязвимостей
- Упражнение: Интеграция со сканерами уязвимостей.
- Работа с удаленными сетями и сервисами
- Итоги