Компания RuSIEM провела практическое обучение основам работы с SIEM-системой

Москва, 09 августа 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, провела двухдневный онлайн-тренинг для партнеров и заказчиков «Внедрение и развертывание системы мониторинга, сбора и анализа событий RuSIEM». Обучающее мероприятие состояло из двух частей – теоретической (вебинар и демонстрация системы) и практической (лабораторные работы).
Теоретическая часть обучения включала следующие тематические блоки:

• назначение SIEM;
• архитектура SIEM-системы RuSIEM: компоненты, типовые и нестандартные варианты установки; поддерживаемые протоколы и схемы, сбор событий, нормализация и корреляция, поток обработки событий;
• установка SIEM-системы RuSIEM: подробный разбор процедуры установки SIEM по одной из типовых схем; разбор первичной настройки системы и критичных параметров конфигурации;
• подключение источников: подробный разбор подключения наиболее распространенных источников; разбор служебных полей событий (идентификация источников и метки времени);
• симптоматика и обогащение событий;
• ролевая модель и мультитенантность;
• корреляция и инциденты: работа с конструктором правил корреляции; использование статических и динамических списков и таблиц; формирование инцидента, привязка событий к инциденту и группировка; работа с карточкой инцидента;
• дашборды, отчеты и визуализация;
• параметры конфигурации сервера SIEM в типовых схемах установки;
• обновление системы;
• поиск и устранение неполадок, внутренние журналы системы.

В ходе практической части участники тренинга на своих виртуальных машинах:

• установили SIEM в одном из типовых вариантов инсталляции;
• подключили источники: Windows Event Log локально и удаленно, Linux по syslog;
• протестировали алгоритм работы с событиями: проверка корректности поступления событий с источников, поиск по фильтрам, создание представлений; симптоматика и поиск по симптомам;
• установили пользователей с назначением ролей, настроили области видимости инцидентов;
• создали правила корреляции и протестировали их на имитациях простых инцидентов.

«Развертывание SIEM-системы может происходить довольно быстро при условии, что технический специалист понимает принципы ее работы и умеет производить ее базовую настройку. Наше обучение направлено на повышение экспертизы партнеров и заказчиков, что поможет им быстрее и результативнее проводить пилоты и внедрения», - отметил ведущий тренинга, заместитель начальника отдела внедрения и сопровождения ПО Алексей Никитин.
По ходу тренинга его участники успешно выполнили ряд лабораторных работ и получили сертификаты о прохождении обучения, подтверждающие наличие у них необходимой для работы с SIEM-системой RuSIEM квалификации.