5 июня 2020 года с 10:00 до 14:00 пройдет тренинг для сотрудников отделов ИБ, желающих получить обзор возможностей облачной SIEM AZure Sentinel.
В курсе рассматривается архитектура системы, подключение источников данных, использование языка запросов KQL для поиска угроз, визуализация событий с помощью рабочих книг, а также автоматизацию реагирования на угрозы.
Обзор облачной системы реагирования на инциденты безопасности Azure Sentinel
- Анонс
- Программа
- Участники
- Спикеры
5 июня 2020 года с 10:00 до 14:00 пройдет тренинг для сотрудников отделов ИБ, желающих получить обзор возможностей облачной SIEM AZure Sentinel.
В курсе рассматривается архитектура системы, подключение источников данных, использование языка запросов KQL для поиска угроз, визуализация событий с помощью рабочих книг, а также автоматизацию реагирования на угрозы.
1. Обзор облачной SIEM системы Microsoft Azure Sentinel
- Предварительные требования
- Архитектура решения
2. Первоначальная настройка, подключение источников данных, работа с логами
- Создание экземпляра Azure Sentinel
- Сбор данных
- Визуализация
- Запросы к логам
- Введение в язык запросов Kusto (KQL)
- Полезные запросы в KQL
- Расширенные запросы в KQL
3. Обнаружение угроз
- Стандартные правила обнаружения угроз
- Обнаружение угроз с использованием правил корреляции.
- Пользовательские правила обнаружения угроз
- Расширенное обнаружение многоступенчатой атаки
- Варианты использования правил обнаружения угроз
- Варианты использования, связанные с поведением пользователей
- Введение в поиск угроз
- Жизненный цикл поиска угроз
- Использование записных книжек Azure Notebooks для поиска угроз
4. Расследование угроз
- Введение в расследование угроз
- Расследование инцидентов
- Использование графа инцидента для расследований
5. Автоматизация предотвращения угроз
- Введение в SOAR
- Введение в рабочие книги
- Создание рабочих книг
- Создание логики автоматизации с помощью дизайнера Azure Logic App
- Автоматизация реагирования на угрозы
