RuSEIM

Компания RuSIEM провела практическое обучение основам работы с SIEM-системой

Новости
Москва, 09 августа 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, провела двухдневный онлайн-тренинг для партнеров и заказчиков «Внедрение и развертывание системы мониторинга, сбора и анализа событий RuSIEM». Обучающее мероприятие состояло из двух частей – теоретической (вебинар и демонстрация системы) и практической (лабораторные работы).
Теоретическая часть обучения включала следующие тематические блоки:
  • назначение SIEM;
  • архитектура SIEM-системы RuSIEM: компоненты, типовые и нестандартные варианты установки; поддерживаемые протоколы и схемы, сбор событий, нормализация и корреляция, поток обработки событий;
  • установка SIEM-системы RuSIEM: подробный разбор процедуры установки SIEM по одной из типовых схем; разбор первичной настройки системы и критичных параметров конфигурации;
  • подключение источников: подробный разбор подключения наиболее распространенных источников; разбор служебных полей событий (идентификация источников и метки времени);
  • симптоматика и обогащение событий;
  • ролевая модель и мультитенантность;
  • корреляция и инциденты: работа с конструктором правил корреляции; использование статических и динамических списков и таблиц; формирование инцидента, привязка событий к инциденту и группировка; работа с карточкой инцидента;
  • дашборды, отчеты и визуализация;
  • параметры конфигурации сервера SIEM в типовых схемах установки;
  • обновление системы;
  • поиск и устранение неполадок, внутренние журналы системы.
В ходе практической части участники тренинга на своих виртуальных машинах:
  • установили SIEM в одном из типовых вариантов инсталляции;
  • подключили источники: Windows Event Log локально и удаленно, Linux по syslog;
  • протестировали алгоритм работы с событиями: проверка корректности поступления событий с источников, поиск по фильтрам, создание представлений; симптоматика и поиск по симптомам;
  • установили пользователей с назначением ролей, настроили области видимости инцидентов;
  • создали правила корреляции и протестировали их на имитациях простых инцидентов.
«Развертывание SIEM-системы может происходить довольно быстро при условии, что технический специалист понимает принципы ее работы и умеет производить ее базовую настройку. Наше обучение направлено на повышение экспертизы партнеров и заказчиков, что поможет им быстрее и результативнее проводить пилоты и внедрения», - отметил ведущий тренинга, заместитель начальника отдела внедрения и сопровождения ПО Алексей Никитин.
По ходу тренинга его участники успешно выполнили ряд лабораторных работ и получили сертификаты о прохождении обучения, подтверждающие наличие у них необходимой для работы с SIEM-системой RuSIEM квалификации.