|
|
 |
Курс «Управление инцидентами информационной безопасности с использованием продукта MF ArcSight ESM»
(ППК-7ArS)
В настоящее время SIEM-системы (Security information and event management), позволяющие в реальном времени анализировать события безопасности в сетевых устройствах и приложениях, являются неотъемлемой частью современных систем безопасности предприятия.
Курс рассматривает одну из таких SIEM-систем — MF ArcSight ESM. На занятиях слушатели не только знакомятся с SIEM-системами, решаемыми ими задачами и комплексом MF ArcSight ESM, но и выполняют практические задания по настройке MF ArcSight ESM, экспорту и импорту наборов ресурсов ArcSight и архивов событий информационной безопасности.
Программа повышения квалификации предназначена для:
- ведущих (главных) специалистов и специалистов служб безопасности (информационной безопасности),
- руководителей и сотрудников отделов автоматизации, вычислительных центров, информационно-технических отделов,
- руководителей и сотрудников специализированных подразделений по защите конфиденциальной информации,
- администраторов безопасности компьютерных сетей.
- сотрудников подразделений безопасности и IT-подразделений, ответственных за информационную безопасность.
Целевая установка:
Совершенствование и (или) освоение профессиональных компетенций специалистов в области использования системы сбора и обработки событий информационной безопасности на базе решений MF ArcSight ESM, возможностей по мониторингу событий, выявлению и расследованию инцидентов информационной безопасности
Содержание программы:
- Введение
- Классификация продукта, назначение SIEM-систем
- Обоснование актуальности использования SIEM-систем
- Проблемы и задачи, решаемые SIEM-системами (Схема сбора, обработки и визуализации системы ArcSight)
- Обзор версий и компонентов решения
- ESM (на Oracle и на Corr-Engine) (входящие компоненты — WEB, СУБД, Manager, партиции БД ArcSight
- ArcSight Express — 20 мин
- SmartConnector (виды, поддерживаемые платформы, удаленный сбор)
- Connector Appliance
- ArcSight Logger
- Средства визуализации — SmartConsole
- Средства визуализации — Web консоли
- Виды поставки системы (ПО, программно-аппаратные комплексы).
- Документация по продуктам.
- Варианты архитектуры
- Практическое занятие:
- Установка агента (настройка сбора с Windows/RHEL)
- Настройка SSL коммуникации.
- Задачи администрирования решения
- Ролевая модель
- Сетевая модель
- Ценности (Assets)
- Зоны (Zones)
- Сети (Networks)
- Потребители (Customers)
- Модель ценностей
- Уязвимости (Vulnerabilities)
- Местонахождения (Locations)
- Категории ценностей (Asset Categories)
- Жизненный цикл события ИБ в ArcSight
- Сбор
- Нормализация
- Фильтрация
- Агрегация
- Приоритезация
- Категоризация
- Корреляция
- Визуализация
- Долговременное хранение.
- Практическое задание:
- Создание ценностей (Assets)
- Создание учетных записей пользователей и разграничение прав доступа
- Обзор консоли ArcSight SmartConsole:
- Ресурсы ArcSight
- Активные каналы
- Активные листы
- Листы сессий
- Панели инструментов, мониторы данных
- Отчеты
- Уведомления
- Правила корреляции
- Переменные
- Workflow — последовательность действий при расследовании инцидентов
- Практическое занятие:
- Создание активных каналов
- Создание активных листов
- Создание листов сессий
- Создание Панели инструментов, мониторов данных
- Создание отчетов
- Встроенные ресурсы ArcSight Express
- Настройка правил корреляции
- Создание уведомлений, настройка автоматического оповещения пользователей об инцидентах ИБ.
- Настройка условий для правил корреляции
- Принципы разработки нестандартных коннекторов Flex-connectors
- Практическое занятие:
- Установка и настройка нестандартного коннектора Flex-connector
- Порядок установки компонентов ArcSight
- Структура базы данных ArcSight
- Схема данных
- Ротация данных
- Архивирование событий ИБ, работа с архивами, онлайн и оффлайн архивы
- Резервное копирование основных компонентов решения
- Диагностика и решение возникающих проблем (конфигурационные файлы агентов, менеджера, инструментарий СУБД, причины и диагностика неполадок).
- Практика:
- Экспорт и импорт наборов ресурсов ArcSight
- Экспорт и импорт архивов событий ИБ
Форма обучения – очная.
Срок обучения: 40 академических часов, 5 учебных дней
Режим занятий: 8 часов в день, в том числе 6 часов учебных занятий с преподавателем и 2 часа самостоятельной работы в день
Занятия проводятся в форме лекций, групповых, семинарских и практических занятий на учебно-материальной базе «Центра предпринимательских рисков», самостоятельного изучения рекомендованной литературы и отчетной итоговой аттестации в виде зачета.
При успешном окончании обучения слушателю выдаётся Удостоверение повышения квалификации.
Каждый слушатель перед началом обучения получает необходимые учебно-методические материалы. Наряду с аудиторными занятиями, предусмотренными учебным планом, слушатели могут получить индивидуальные дополнительные консультации по интересующим их темам.
 В содержание программы могут быть внесены изменения!
|
|
|
|
