Splunk Enterprise Security (ES) – آکادمی راوین
آکادمی راوین

Splunk Enterprise Security (ES)

  • پیشرفته
  • مسیر آبی
  • ۹ درس
ثبت نام سازمانی این دوره
تاریخ شروع
بزودی
طول دوره
۳۰ ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۲۰ نفر باقی مانده

درباره‌ی این دوره

Splunk سامانه‌ای است که با هدف جستجو، نظارت، مصورسازی و تجزیه و تحلیل داده‌های ماشین به صورت «در لحظه»، کاربرد دارد. به عبارت دیگر این فناوری، ابزاری برای مدیریت لاگ و تجزیه و تحلیل آن در مقیاس بالا است. شما با استفاده از این سامانه می‌توانید حجم بالایی از داده‌های تولید شده توسط تجهیزات و نرم‌افزارهای مختلف را به صورت مرکزی، جمع‌آوری و تجزیه و تحلیل کنید. اما نکته‌ای که باید به آن توجه داشت این است که سامانه‌ی Splunk (یا به طور دقیق‌تر Splunk Enterprise) علیرغم قابلیت‌های بالایی که دارد، به تنهایی نمی‌تواند به عنوان یک SIEM در سازمان استفاده شود. در واقع برای تبدیل شدن این سامانه به یک SIEM قدرتمند، لازم است تا افزونه‌ی Splunk Enterprise Security (یا به طور خلاصه Splunk ES) بر روی آن نصب و راه‌اندازی شود. Splunk ES قابلیت‌ها و فرآیندهای متعددی را به سامانه‌ی Splunk‌ اضافه می‌کند که به شما امکان شناسایی و مدیریت رخدادهای مختلف را می‌دهد. همچنین قابلیت یکپارچه شدن با ماژول تحلیل رفتار کاربر (UBA) با بهره‌گیری از فناوری یادگیری ماشین، ماژول Phantom که به شما امکان خودکارسازی بسیاری از فرآیندهای مدیریت رخداد را می‌دهد و ده‌ها افزونه‌ی دیگر را دارد که همین امر آن را به یکی از برترین SIEMهای دنیا تبدیل کرده است. استفاده از این قابلیت‌ها در کنار متخصصین امنیت سایبری، دارایی‌های اطلاعاتی سازمان شما را در برابر بسیاری از تهدیدات سایبری پیشرفته محافظت خواهد کرد. این دوره به آموزش نصب، پیکربندی و Tune ‌کردن سامانه‌ی Splunk ES پرداخته و شیوه‌ی بهره‌برداری بهینه از این فناوری در زیرساخت‌ سازمان‌های بزرگ، به صورت کاربردی و عملی آموزش داده خواهد شد. از مهم‌ترین موضوعاتی که در این دوره به آن‌ها پرداخته می‌شود می‌توان به بررسی ساختار Splunk ES، پایش امنیت و رخدادها، پیکربندی Alert بر اساس مخاطرات سازمان، کار با داشبوردهای امنیتی و در نهایت هوشمندی تهدیدات، هوشمندی زیرساخت وب، هوشمندی رفتار کاربران و هوشمندی در پروتکل‌های زیرساخت شبکه‌ی سازمان، اشاره کرد.

این دوره به چه افرادی توصیه می‌شود؟

  • کارشناسان مراکز SOC
  • مهندسین امنیت شبکه و زیرساخت
  • تحلیل‌گران امنیت سایبری
  • مشاورین امنیت سایبری
  • کارشناسان Digital Forensic
  • کارشناسان شکار تهدیدات سایبری

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • آشنایی با مفاهیم حملات سایبری
  • آشنایی با مفاهیم و تعاریف تحلیل وقایع و لاگ
  • آشنایی با Splunk Enterprise

سرفصل‌های دوره

  • Getting Started with ES
    • Describe the features and capabilities of Splunk Enterprise Security (ES)
    • Explain how ES helps security practitioners prevent, detect, and respond to threats
    • Describe correlation searches, data models, and notable events
    • Describe user roles in ES
  • Security Monitoring and Incident Investigation
    • Use the Security Posture dashboard to monitor ES status
    • Use the Incident Review dashboard to investigate notable events
    • Take ownership of an incident and move it through the investigation workflow
    • Create notable events
    • Suppress notable events
  • Risk-Based Alerting
    • Give an overview of Risk-Based Alerting
    • View Risk Notables and risk information on the Incident Review dashboard
    • Explain risk scores and how to change an object’s risk score
    • Review the Risk Analysis dashboard
    • Describe annotations
    • Describe the process for retrieving LDAP data for an asset or identity lookup
  • Investigations
    • Use investigations to manage incident response activity
    • Use the Investigation Workbench to manage, visualize and coordinate incident investigations
    • Add various items to investigations (notes, action history, collaborators, events, assets, identities, files and URLs)
    • Use investigation timelines, lists and summaries to document and review breach analysis and mitigation efforts
  • Using Security Domain Dashboards
    • Use ES to inspect events containing information relevant to active or past incident investigation
    • Identify security domains in ES
    • Use ES security domain dashboards
    • Launch security domain dashboards from Incident Review and from action menus in search results
  • Web Intelligence
    • Use the web intelligence dashboards to analyze your network environment
    • Filter and highlight events
  • User Intelligence
    • Evaluate the level of insider threat with the user activity and access anomaly dashboards
    • Understand asset and identity concepts
    • Use the Asset and Identity Investigators to analyze events
    • Use the session center for identity resolution
  • Threat Intelligence
    • Give an overview of the Threat Intelligence framework and how threat intel is configured in ES
    • Use the Threat Activity dashboard to see which threat sources are interacting with your environment
    • Use the Threat Artifacts dashboard to examine the status of threat intelligence information in your environment
  • Protocol Intelligence
    • Explain how network data is input into Splunk events
    • Describe stream events
    • Give an overview of the Protocol Intelligence dashboards and how they can be used to analyze network data

گواهینامه‌ی دوره

گواهی نامه Splunk Enterprise Security (ES)

دوره های مشابه