Цель курса:
Лаборатория Касперского предлагает Kaspersky Threat Management and Defense — комбинацию из сервисов и современных программных средств для поиска и анализа скрытых угроз. KTMD может стать основой для нового SOC или расширить арсенал средств в уже существующем.
Курс KL 025.37 посвящен программным средствам в составе KTMD: Kaspersky Anti Targeted Attack (KATA) Platform 3.7 и Kaspersky Endpoint Detection and Response (KEDR) 1.7.
Целевая аудитория:
Курс ориентирован на инженеров, в задачу которых входит внедрение, настройка и обслуживание решений Kaspersky Anti-Targeted Attack и Kaspersky Endpoint Detection and Response.
После окончания курса Вы будете уметь:
- разворачивать решение для пилотной или промышленной эксплуатации,
- будете понимать принципы работы KATA и KEDR,
- выполнять настройку и проверку работоспособности решения,
- демонстрировать работу решения на примере тестового инцидента безопасности.
Предварительная подготовка:
Понимание основ сетевых технологий: DNS, маршрутизации, электронной почты, Web. Базовые навыки администрирования Windows и Linux. Представление о современных угрозах и тенденциях развития информационных технологий.
Модуль 1. Позиционирование решения
Что умеет решение и кому оно будет полезно
Лицензирование решения
Модуль 2. Функционирование решения
Знакомство с основными функциональными блоками
Источники данных и представление результатов работы
Модуль 3. Особенности внедрения решения
Ограничения использования решения
Системные требования и масштабирование в соответствии с требованиями эксплуатации
Типичные топологии
Распределенная установка
Модуль 4. Установка и первоначальная настройка решения
Планирование развертывания решения
Установка серверов и агентов
Подключение установленных компонентов друг к другу
Подключение продукта к корпоративной сетевой инфраструктуре
Активация компонентов
Лабораторные работы Модуля 4:
- Установка Центрального узла
- Установка и настройка сервера Sandbox
- Подключения Центрального узла к серверу Sandbox
- Установка лицензий
- Создание пользователей
- Развертывание ПО Endpoint Agent с помощью KSC
- Подключение Endpoint Agent к центральному узлу с помощью KSC
- Активация Endpoint Agent помощью KSC
- Настройка KATA для обработки SPAN-трафика
- Интеграция KATA с почтовой системой
- Исключение SMTP из анализа SPAN трафика
- Интеграция с прокси-серверами по ICAP
Модуль 5. Проверка работоспособности системы
Как убедиться в том, что все входные данные обрабатываются всеми системами безопасности
Как собрать данные о работе и имеющихся ошибках для передачи в службу технической поддержки
Как найти нужные файлы логов и конфигурационные файлы
Лабораторные работы Модуля 5:
- Проверка анализа SPAN-трафика
- Проверка анализа ICAP-трафика
- Проверка анализа SMTP-трафика
- Проверка работоспособности модуля IDS
- Проверка работоспособности модуля URL Reputation
- Проверка работоспособности модуля AM
- Проверка работоспособности модуля Sandbox
- Проверка работоспособности модуля TAA
- Проверка работоспособности модуля IOC Scan
Модуль 6. Демонстрация работы продукта
Как организовать демонстрацию возможностей продукта
Лабораторные работы Модуля 6:
Демонстрация возможностей KEDR: генерация предупреждений модулем TAA, поиск угроз на узлах сети, изоляция скомпрометированных узлах, настройка реакции на найденные угрозы на узлах сети
Демонстрация возможностей КАТА: генерация уведомлений на найденные угрозы в сетевом трафике, детектирование угроз KATA Sandbox
Изучение подробных результатов анализа файла в KATA Sandbox (Debug Info)
Модуль 7. Дальнейшая настройка продукта
Настройка отправки уведомлений по Email
Интеграция с корпоративной SIEM-системой
Создание отчетов
Настройка исключений с помощью "Белых списков"
Формирование "VIP групп" для ограничения доступа к VIP-инцидентам
Создание правил и исключений для TAA модуля
Сканирование на наличие индикаторов компрометации (IOC)
Создание правил для модуля IDS
Создание правил для модуля YARA
Лабораторные работы Модуля 7:
- Создание пользовательских правил ТАА
- Создание исключений ТАА
- Импорт внешних правил Snort
- Создание исключений для IDS
- Создание пользовательских правил YARA
Модуль 8. Обновление программного обеспечения
Поддерживаемые сценарии обновления продукта
Совместимость версий продукта
Процедура обновления программного обеспечения
Перенос данных при обновлении продукта
24.08.2022
26.10.2022
21.12.2022