Szkolenie z monitorowania bezpieczeństwa teleinformatycznego
SIEM, SOC, monitoring ruchu
termin: aktualnie zbieramy grupę i nie mamy ustalonego konkretnego terminu szkolenia, możliwe jest dedykowane spotkanie (w tym pod konkretne potrzeby) dla grupy od 4 osób – zapytaj o szkolenie
Monitorowanie cyberbezpieczeństwa
Coś, o czym mało kto pamięta. Analiza logów jest czynnością konieczną a niestety pomijaną. Uprość to dla siebie – spraw, aby systemy same wyciągały wnioski, a do Ciebie wracały tylko najistotniejsze spostrzeżenia.
- Jak wykrywać i wcześnie reagować na zdarzenia z zakresu cyberbezpieczeństwa.
- Dlaczego warto monitorować i czego nie dadzą nam klasyczne systemy bezpieczeństwa IT
- Pojęcie SOC: security operations center
- Organizacja SOC
- Techniczne systemy składowe SOC
- Gromadzenie i analiza logów – Systemy SIEM – Security Information and Event management: zadania działanie, skąd SIEM bierze dane
- Co można osiągnąć za pomocą systemu SIEM, w kontekście modelu Mittre Att@ck
- Modele funkcjonowania SIEM
- Zarządzanie podatnościami: terminy podatność, CVE , CVSS.
- Oprogramowanie OpenVAS i Nessus
- Bazy Threat Intelligence
- Sieć jako sensor: wykorzystanie NetFlow do analizy bezpieczeństwa komunikacji
- Analiza behawioralna w komunikacji: Sandboxing, analiza zagrożeń
SIEM na przykładzie Alienvault
- Instalacja, konfiguracja zasilenie danymi
- Przegląd interfejsu, dashboardy
- Instalacja i konfiguracja agentów na komputerach i serwerach: Host IDS
- Baza Threat Intelligence w Alienvault
- Baza urządzeń monitorowanych, utrzymywanie aktualizowanie
- Skanowanie podatności wbudowanym systemem OpenVAS, ubarwianie danych
- Network IDS
- Korelacja zdarzeń
- Wykrywanie zwielokrotnionych zagrożeń malware: integracja z programami AV
- Wykrywanie ataków na warstwę sieciowa (ataki typu arp spoofing, dhcp starvation, mac flooiding)
- Wykrywanie działania skanerów i narzędzi hakerskich
- Monitorowanie integralności plików i rejestrów systemowych
- Monitorowanie logów z dowolnej aplikacji
- Monitorowanie instalacji aplikacji
- Rozpoznawania ataków typu brute-force, kont blokujących się
- Monitorowanie dostępu administracyjnego: użycie konta w dziwnych godzinach
- Wykrywanie ataków typu Data Leak
- Wykrywanie komunikacji typu reverse shell
- Monitorowanie bezpieczeństwa sieci WLAN
- Wykrywanie tunelowania, wykorzystania proxy, użycia Teamviewer-a bądź tożsamej aplikacji
- Wykrywanie ataków aplikacyjnych : XSS, Sql injection, path traversal
Netflow: siec jako sensor
Oprogramowanie ntop
- Wykrywanie Denial of Service
- Wykrywanie skanowań
- Wykrywanie komunikacji stałej (tunele, wypływ danych: Data Leak Protection)
- Wykrywanie komunikacji o dużym wolumenie (Data Leak Protection)
- Wykrywanie ruchu do lokalizacji o wysokim poziomie zagrożeń ( korzystając z bazy Threat Intelligence)
- Obserwacja ruchu na podstawie krajów
- Wykrywanie domen automatycznie generowanych (DGA)
Oprogramowanie Elastic Search Stack
- Instalacja, zasilenie ruchem
- Wykonywanie analiz ruchu sieciowego na podstawie wielu kryteriów
- Raporty dotyczące usług, par komunikacyjnych