Администрирование DLP-систем и SIEM-систем

Цель: овладение слушателями навыками администрирования и использования современных DLP-систем в профессиональной деятельности в сфере информационной безопасности.

Формы проведения обучения: лекции, case-study, практические занятия, тестирование.

Категория слушателей: сотрудники служб информационной безопасности предприятий и организаций.

  • День 1
  • День 2
  • День 3
  • День 4
  • День 5

10:00 – 11:20Общая характеристика программного комплекса «СёрчИнформ КИБ» (лекция); (далее – КИБ) (лекция)

Назначение, архитектура и состав «СёрчИнформ КИБ». Схема движения информации в «СёрчИнформ КИБ». Общая схема функционирования «СёрчИнформ КИБ». Взаимосвязь основных компонентов «СёрчИнформ КИБ».азначение, архитектура и состав КИБ. Схема движения информации в КИБ. Общая схема функционирования КИБ. Взаимосвязь основных компонентов КИБ.

11:20 – 11:30Перерыв

 

11:30 – 13:00Общая характеристика «СёрчИнформ КИБ» (лекция – продолжение, тестирование)

Характеристика компонентов, входящих в состав «СёрчИнформ КИБ». Компоненты, выполняющие перехват трафика. Компоненты, предназначенные для хранения и индексации данных. Компонента администрирования DataCenter. Аналитические компоненты. Тестирование по теме «Общая характеристика КИБ».».

13:00 – 14:00Обед

 

14:00 – 15:20Способы организации перехвата трафика (лекция)

Подсистема сетевого перехвата: возможности платформы NetworkController. Подсистема перехвата на конечных точках сети: возможности платформы EndpointController. Преимущества и недостатки различных способов перехвата трафика. Организация комбинированного перехвата трафика. Интеграция со сторонними продуктами (почтовыми, прокси-серверами, другим программным обеспечением). Индексация рабочих станций (далее – ИРС): решаемые задачи и функциональные возможности.

15:20 – 15:30Перерыв

 

15:30 – 17:00Подготовка к установке «СёрчИнформ КИБ» (лекция)

Требования и рекомендации к серверному оборудованию и используемому программному обеспечению. Особенности заполнения анкеты «СёрчИнформ». Этапы развертывания «СёрчИнформ КИБ» и их характеристика.

10:00 – 11:20Установка и настройка MS SQL Server для работы КИБ (практическое занятие)

 

11:20 – 11:30Перерыв

 

11:30 – 13:00Установка и первоначальная настройка «СёрчИнформ КИБ» (практическое занятие)

 

13:00 – 14:00Обед

 

14:00 – 15:20Настройка подсистемы сетевого перехвата и подсистемы перехвата на конечных точках сети «СёрчИнформ КИБ» (практическое занятие)

 

15:20 – 15:30Перерыв

 

15:30 – 17:00Настройка компоненты DataCenter. Проверка настроек и работоспособности «СёрчИнформ КИБ» после установки (практическое занятие)

 

10:00 – 11:20Дополнительная настройка компонент «СёрчИнформ КИБ» (практическое занятие)

«Тонкая» настройка агентов. Настройки SearchServer. Настройки системы, выполняемые только посредством файлов конфигурации.

11:20 – 11:30Перерыв

 

11:30 – 13:00Дополнительная настройка компонент «СёрчИнформ КИБ» (практическое занятие)

Настройки внешних систем для работы «СёрчИнформ КИБ». Настройка прокси-сервера.

13:00 – 14:00Обед

 

14:00 – 15:20Дополнительная настройка компонент КИБ (практическое занятие)

Настройка «зеркалирования». Настройка почтового сервера для использования в режиме интеграции.

15:20 – 15:30Перерыв

 

15:30 – 17:00Способы решения проблем, возникающих в процессе установки и эксплуатации «СёрчИнформ КИБ» (практическое занятие)

«Баг» или доработка? Какую информацию необходимо предоставить, чтобы сократить время решения проблемы? Где находятся «логи» и за что они отвечают? Выставление необходимого уровня логирования в компонентах КИБ. Алгоритм анализа нарушений функционирования КИБ.

10:00 – 11:20Инструменты аналитики в «СёрчИнформ КИБ» (лекция)

Поиск информации, содержащейся в перехваченных данных. Виды поиска. Комплексные запросы. Средства автоматизации. Мониторинг. Системы отчетности.

11:20 – 11:30Перерыв

 

11:30 – 13:00Поиск по перехваченным документам при помощи приложения SearchInform Client (практическое занятие)

Консоль аналитика. Подключение к индексам сервера индексации. Настройка опций текстового поиска. Настройка просмотра перехваченных сообщений. Настройка ограничений результатов поиска. Настройка ограничений поиска по атрибутам сообщений. Использование модификаторов. Настройка псевдонимов идентификационных номеров (UIN) пользователей. Онлайн-активность пользователей. Карточки пользователей. Режимы LiveView и LiveSound.

13:00 – 14:00Обед

 

14:00 – 15:20Автоматический мониторинг информационных потоков при помощи приложения СёрчИнформ AlertCenter (практическое занятие)

Функции и интерфейс серверного модуля AlertCenter. Функции и интерфейс клиентского модуля AlertCenter. Подключение индексов и баз данных. Регистрация пользователей. Настройки политик безопасности (настройка критериев поиска, индексов для анализа, расписания проверок, списка получателей уведомлений, списка исключений). Управление журналом инцидентов. Настройка политик карантина. Общие настройки AlertCenter.

15:20 – 15:30Перерыв

 

15:30 – 16:50Формирование отчетов об активности пользователей и инцидентах. Использование «СёрчИнформ КИБ» для проведения служебных расследований (практическое занятие)

Основные элементы интерфейса инструмента "Отчеты" в Консоли аналитика. Настройка подключения к базе отчетов. Выбор пользователей. Генерация и отображение отчетов. Просмотр контекстно связанных отчетов. Перемещение по отчетам. Редактирование пользовательского шаблона. Анализ социальных отношений сотрудников и его отображение в виде графа. Просмотр перечня установленного на компьютерах программного обеспечения. История установки агентов. Количество сообщений по компьютерам. Операции с папками. Дела и их основные характеристики. Списки фигурантов. Ведение дел.

16:50 – 17:00Торжественное вручение сертификатов

 

10:00 – 10:20Общая описание и назначение систем класса SIEM (лекция)

Описание класса систем SIEM. Назначение, место в структуре безопасности, общие положения «СёрчИнформ SIEM».

10:20 – 11:00Описание состава «СёрчИнформ SIEM», способов разворачивания, необходимых элементов (лекция).

Описание способов установки Data Center и «СёрчИнформ SIEM». Особенности разворачивания, установки систем. Раздача прав. Детали по установке и администрированию MongoDB. Возможности по использованию в сложной структуре.

11:00 – 11:30Общая настройка «СёрчИнформ SIEM», разделы Меню и Администрирование (лекция).

Нюансы внутренних и внешних настроек SearchInform SIEM. Работа с коннекторами, подключение источников. Уведомление о бездействии источников. Детали архивного копирования.

11:30 – 11:40Перерыв

 

11:40 – 12:20Работа с правилами и инцидентами. Способы создания пользовательских правил и подключения новых источников. (лекция)

Работа с разделами Правила и Инциденты. Интерфейс закладок, их функционал. Способы работы с правилами, сортировка, фильтрация, экспорт и печать данных. Корректировка правил, создание пользовательских правил. Закладка Инциденты – настройка и применение.

12:20 – 13:00Панели графических представлений – Карта инцидентов, Карта подключений, Сканер сети и Дашборд (лекция).

Нюансы использования графических представлений. Для каких целей предназначено каждое из них. Возможность настройки и кастомизации представлений.

13:00 – 14:00Обед

 

14:00 – 15:00Разворачивание Data Center, Analytic console и SIEM (практика)

Разворачивание, подключение лицензий, настройка распределения лицензий, интеграция с AD, настройка прав доступа. Практическая работа, которую учащиеся должны выполнить в своей сети (допустимо как разворачивание на отдельном стенде – но тогда нужен тестовый контроллер домена, так и разворачивание в рабочей сети – тогда нужны права доступа к рабочему контроллеру домена)

15:00 – 16:00Настройка Data Center, Analytic console и SIEM (практика)

Дата Центр – настройка подключения к telegram (опционально, потребуется действующий аккаунт telegram), настройка логирования действий пользователя, настройка уведомлений о окончании места на сервере SIEM. SIEM – настройка архивного копирования. Скрытие коненкторов и правил, изменение уровня логирования служб, подключение удаленной консоли (нужна дополнительная отдельная АРМ), создание белых и черных списков, изменение флагов, подключение источников данных (как минимум 1 источник win event, и 1 источник MS SQL – можно от DC), настройка уведомлений о бездействии источников данных. Направления потоков событий syslog по нескольким коннекторам при помощи предоставляемой утилиты.

16:00 – 16:30Перерыв

 

16:30 – 17:00Формирование событий на источниках, добавление новых правил (практика)

Сформировать на подключенном источнике AD несколько событий (вход, подбор пароля, что-либо еще). Создание произвольных правил AD, Syslog, пользовательских правил AD, правила кросс-корреляции

17:00 – 18:00Тестирование. В устной и практической форме

Осуществляется представителем вендора (зачет).

Стоимость курса 92 000 р. + НДС

Регистрация:

Форма - Администрирование DLP-систем и SIEM-систем

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними