Основы IBM QRadar SIEM
Описание курса
Цель данного курса - изучение программного продукта IBM Security QRadar SIEM. IBM Security QRadar SIEM предоставляет возможность сбора, нормализации, корреляции и безопасного хранения событий, потоков, профилей устройств и уязвимостей. QRadar выполняет классификацию событий и на основе политик и правил создает инциденты. Инцидент призван предупредить администратора о вероятной атаке. Данный курс посвящен взаимодействию администратора и аналитика безопасности с QRadar SIEM, работе с источниками событий и сетевого траффика, анализу инцидентов, созданных в результате срабатывания правил, при необходимости - выполнению тонкой настройки. Курс также охватывает работу с поисковыми запросами различных уровней сложности, разработку правил, построение отчетов.Целевая аудитория
Аналитиков безопасности, архитекторов, сетевых администраторов, системных администраторов, работающих с QRadar SIEMМинимальные требования
Обладать базовыми знаниями в области IT инфраструктуры, быть знакомыми с основами IT безопасности, сетевыми технологиями, Linux, Windows, Syslog.Содержание курса
ВведениеЗнакомство с IBM Security QRadar SIEM
Архитектура IBM QRadar SIEM. Организация потоков данных
Интерфейс пользователя QRadar SIEM
Упражнение: Интерфейс пользователя QRadar SIEM
Исследование инцидентов, созданного на основе событий
Упражнение: Исследование инцидентов, созданного на основе событий
Изучение событий, по которым был создан инцидент
Упражнение: Изучение событий, по которым был создан инцидент
Профили устройств
Анализ инцидентов, созданных на основе исследования сетевых потоков
Упражнение: Анализ инцидентов, созданных на основе исследования сетевых потоков
Использование правил
Упражнение: Использование правил
Сетевые иерархии
Упражнение: Сетевые иерархии
Индексы и управление накопленными данными (Aggregated Data Management)
Упражнение: Индексы и управление накопленными данными (Aggregated Data Management)
Информационные панели (Dashboard)
Упражнение: Информационные панели (Dashboard)
Создание отчетов
Упражнение: Создание отчетов
Использование фильтров
Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
Упражнение: Работа с AQL (Ariel Query Language). Расширенные возможности поисковых запросов
Создание настраиваемых источников журналов
Упражнение: Создание настраиваемых источников журналов
Работа со ссылочными данными (Reference Data)
Упражнение: Работа со ссылочными данными (Reference Data)
Разработка правил
Упражнение: Разработка правил
Резервное копирование и восстановление
Упражнение: Резервное копирование и восстановление
Системные настройки QRadar SIEM
Упражнение: Системные настройки QRadar SIEM
Управление лицензиями
Работа с Deployment Actions инструментом
Мониторинг текущего состояния системы (System Health)
Упражнение: Мониторинг текущего состояния системы (System Health)
Итоги