+7 (812) 703-02-02 info@hse.spbstu.ru

CS-EVENT. Обработка событий безопасности сети предприятия

Длительность дисциплины: 32 ак.ч.


Аннотация

Целью изучения дисциплины «CS-EVENT. Обработка событий безопасности сети предприятия» является формирование у слушателей знаний и навыков, необходимых для использования IDS и SIEM-систем с целью сбора, накопления и анализа событий безопасности в современных компьютерных сетях.

Знания и умения, полученные в результате изучения

В результате освоения программы обучающийся должен уметь:
• Использовать сетевые системы обнаружения и предотвращения вторжений Snort, Suricata, Zeek;
• Использовать систему обнаружения вторжений OSSEC/Wazuh для комплексного наблюдения за безопасностью сетевых узлов.

В результате освоения программы обучающийся должен знать:
• назначение, функционал и принципы использования SIEM-систем;
• технологии журнализации и системы анализа файлов журнала для оценки состояния узлов.

В результате освоения программы обучающийся должен приобрести практический опыт:
• Использовать SIEM-системы Prelude и OSSIM для анализа событий безопасности сети.


Содержание дисциплины

Тема 1. Источники событий, их сбор и обработка.

  • Системы обнаружения и предотвращения вторжений. 
  • SIEM-системы. 
  • Журналы системных событий и аудита. 
  • Контроль целостности файлов. 
  • Обнаружение РПС. 
  • Аномалии сетевого трафика.

Лабораторные работы:

  • Централизованный анализ сообщений журналов сетевых узлов
  • Фиксация и анализ инцидентов безопасности средствами IDS и SIEM

Тема 2. HIDS OSSEC.

  • Архитектура системы OSSEC и описание возможностей. 
  • Развертывание OSSEC на Windows и Linux-узлах.
  • LIDS средствами OSSEC. 
  • FIC средствами OSSEC. 
  • RKC средствами OSSEC. 
  • Алерты OSSEC. 

Лабораторные работы:

  • Установка OSSEC
  • Добавление агента в ОС Linux
  • Добавление агента в ОС Windows
  • Настройка и работа с OSSEC

Тема 3. Сетевая IDS/IPS-система Suricata.

  • NIDS Suricata - архитектура системы. 
  • Установка, настройка. 
  • Синтаксис правил Snort/Suricata. 
  • Возможности Suricata по анализу прикладных протоколов.  
  • Работа Suricata в режиме IPS. 
  • Модули вывода Suricata. 

Лабораторные работы:

  • Установка, базовая настройка и проверка работы Suricata
  • Написание правил Snort/Suricata
  • Обнаружение сетевых атак средствами Suricata

Тема 4. SIEM-система Prelude SIEM.

  • Архитектура системы Prelude. 
  • Развертывание и начальная настройка. 
  • Настройка сенсоров Prelude-SIEM. 

Лабораторные работы:

  • Развертывание и настройка Prelude SIEM.
  • Получение сообщений журнализации средствами Prelude-LML.
  • Получение сообщений журнала аудита.
  • Настройка интеграции с OSSEC.
  • Настройка интеграции c Suricata.

Тема 5. SIEM-система OSSIM.

  • Архитектура OSSIM. 
  • Установка OSSIM. 
  • Настройка OSSIM. 

Лабораторные работы:

  • Установка OSSIM
  • Подключение агентов OSSEC
  • Подключение NIDS Suricata
  • Анализ инцидентов безопасности

Тема 6. SIEM-система Wazuh и Elastic Stack.

  • Архитектура Wazuh. 
  • Установка и начальная настройка компонент Wazuh. 
  • Создание отчетов и алертов.

Лабораторные работы:

  • Установка агента и сервера Wazuh
  • Установка компонент Elastic Stack
  • Регистрация и управление агентами Wazuh
  • Настройка и анализ алертов