Szkolenie z monitorowania bezpieczeństwa teleinformatycznego
SIEM, SOC, monitoring ruchu

termin: aktualnie zbieramy grupę i nie mamy ustalonego konkretnego terminu szkolenia, możliwe jest dedykowane spotkanie (w tym pod konkretne potrzeby)  dla grupy od 4 osób –  zapytaj o szkolenie

Monitorowanie cyberbezpieczeństwa

Coś, o czym mało kto pamięta. Analiza logów jest czynnością konieczną a niestety pomijaną. Uprość to dla siebie – spraw,  aby systemy same wyciągały wnioski, a do Ciebie wracały tylko najistotniejsze spostrzeżenia.

  • Jak wykrywać i wcześnie reagować na zdarzenia z zakresu cyberbezpieczeństwa.
  • Dlaczego warto monitorować i czego nie dadzą nam klasyczne systemy bezpieczeństwa IT
  • Pojęcie SOC: security operations center
  • Organizacja SOC
  • Techniczne systemy składowe SOC
  • Gromadzenie i analiza logów – Systemy SIEM – Security Information and Event management: zadania działanie, skąd SIEM bierze dane
  • Co można osiągnąć za pomocą systemu SIEM, w kontekście modelu Mittre Att@ck
  • Modele funkcjonowania SIEM
  • Zarządzanie podatnościami: terminy podatność, CVE , CVSS.
  • Oprogramowanie OpenVAS i Nessus
  • Bazy Threat Intelligence
  • Sieć jako sensor: wykorzystanie NetFlow do analizy bezpieczeństwa komunikacji
  • Analiza behawioralna w komunikacji: Sandboxing, analiza zagrożeń

SIEM na przykładzie Alienvault

  • Instalacja, konfiguracja zasilenie danymi
  • Przegląd interfejsu, dashboardy
  • Instalacja i konfiguracja agentów na komputerach i serwerach: Host IDS
  • Baza Threat Intelligence w Alienvault
  • Baza urządzeń monitorowanych, utrzymywanie aktualizowanie
  • Skanowanie podatności wbudowanym systemem OpenVAS, ubarwianie danych
  • Network IDS
  • Korelacja zdarzeń
  • Wykrywanie zwielokrotnionych zagrożeń malware: integracja z programami AV
  • Wykrywanie ataków na warstwę sieciowa (ataki typu arp spoofing, dhcp starvation, mac flooiding)
  • Wykrywanie działania skanerów i narzędzi hakerskich
  • Monitorowanie integralności plików i rejestrów systemowych
  • Monitorowanie logów z dowolnej aplikacji
  • Monitorowanie instalacji aplikacji
  • Rozpoznawania ataków typu brute-force, kont blokujących się
  • Monitorowanie dostępu administracyjnego: użycie konta w dziwnych godzinach
  • Wykrywanie ataków typu Data Leak
  • Wykrywanie komunikacji typu reverse shell
  • Monitorowanie bezpieczeństwa sieci WLAN
  • Wykrywanie tunelowania, wykorzystania proxy, użycia Teamviewer-a bądź tożsamej aplikacji
  • Wykrywanie ataków aplikacyjnych : XSS, Sql injection, path traversal

Netflow: siec jako sensor

Oprogramowanie ntop

  • Wykrywanie Denial of Service
  • Wykrywanie skanowań
  • Wykrywanie komunikacji stałej (tunele, wypływ danych: Data Leak Protection)
  • Wykrywanie komunikacji o dużym wolumenie (Data Leak Protection)
  • Wykrywanie ruchu do lokalizacji o wysokim poziomie zagrożeń ( korzystając z bazy Threat Intelligence)
  • Obserwacja ruchu na podstawie krajów
  • Wykrywanie domen automatycznie generowanych (DGA)

Oprogramowanie Elastic Search Stack

  • Instalacja, zasilenie ruchem
  • Wykonywanie analiz ruchu sieciowego na podstawie wielu kryteriów
  • Raporty dotyczące usług, par komunikacyjnych

ZAPYTAJ O SZKOLENIE