Administering Splunk Enterprise Security (ASES) – Details

Detaillierter Kursinhalt

Thema 1 - Einführung in die ES

  • Überprüfung der Funktionsweise von ES
  • Verstehen, wie ES Datenmodelle verwendet
  • Konfigurieren von ES-Rollen und -Berechtigungen

Thema 2 - Sicherheitsüberwachung

  • Anpassen der Dashboards für die Sicherheitslage und die Überprüfung von Vorfällen
  • Ad-hoc-Ereignisse erstellen
  • Bemerkenswerte Ereignisunterdrückungen erstellen

Thema 3 - Risikobasierte Alarmierung

  • Überblick über die risikobasierte Alarmierung
  • Anzeige von Risikomerkmalen und Risikoinformationen auf dem Dashboard für die Vorfallprüfung
  • Erläuterung der Risikobewertungen und wie ein ES-Administrator die Risikobewertung eines Objekts ändern kann
  • Überprüfen Sie das Dashboard der Risikoanalyse
  • Beschreiben Sie Anmerkungen

Thema 4 - Untersuchung von Vorfällen

  • Überprüfen Sie das Investigations-Dashboard
  • Anpassen der Investigation Workbench
  • Verwaltung von Untersuchungen

Thema 5 - Installation

  • Vorbereiten einer Splunk-Umgebung für die Installation
  • ES herunterladen und auf einem Suchkopf installieren
  • Testen Sie eine neue Installation
  • Konfigurationsaufgaben nach der Installation

Thema 6 - Erstmalige Konfiguration

  • Allgemeine Konfigurationsoptionen einstellen
  • Externe Integrationen hinzufügen
  • Lokale Domäneninformationen konfigurieren
  • Anpassen der Navigation
  • Konfigurieren Sie die Suche nach Schlüsselindikatoren

Thema 7 - Validierung von ES-Daten

  • Überprüfen Sie, ob die Daten korrekt für die Verwendung in ES konfiguriert sind.
  • Validierung von Normalisierungskonfigurationen
  • Zusätzliche Add-ons installieren

Thema 8 - Benutzerdefinierte Add-ons

  • Entwerfen Sie ein neues Add-on für benutzerdefinierte Daten
  • Verwenden Sie den Add-on Builder, um ein neues Add-on zu erstellen

Thema 9 - Abstimmung von Korrelationssuchen

  • Zeitplanung und Empfindlichkeit der Korrelationssuche konfigurieren
  • ES-Korrelationssuche abstimmen

Thema 10 - Erstellen von Korrelationssuchen

  • Erstellen einer benutzerdefinierten Korrelationssuche
  • Verwalten von adaptiven Reaktionen
  • Export/Import von Inhalten

Thema 11 - Vermögensverwaltung und Identitätsmanagement

  • Überprüfen Sie die Asset- und Identitätsmanagement-Schnittstelle
  • Beschreiben Sie Asset- und Identitäts-KV-Speicher-Sammlungen
  • Konfigurieren und Hinzufügen von Asset- und Identitätssuchen zur Schnittstelle
  • Konfigurieren Sie Einstellungen und Felder für Asset- und Identitätssuche
  • Erklären Sie den Prozess der Zusammenführung von Vermögenswerten und Identitäten
  • Beschreiben Sie das Verfahren zum Abrufen von LDAP-Daten für eine Bestands- oder Identitätssuche

Thema 12 - Threat Intelligence Framework

  • Verstehen und Konfigurieren von Bedrohungsdaten
  • Verwenden Sie die Threat Intelligence Management-Schnittstelle, um eine neue Bedrohungsliste zu konfigurieren