Платформа Kaspersky Anti Targeted Attack (KATA) и Kaspersky EDR Kaspersky Anti Targeted Attack Platform, Kaspersky Endpoint Detection and Response
Описание курса
Традиционная защита основывается на допущении, часто неявном, что сеть не скомпрометирована и задача средств защиты — сохранить это состояние сети. Соответственно, традиционные инструменты защиты анализируют изменения состояния: что проходит по сети через периметр (сетевые экраны, DLP) и что меняется на компьютерах внутри периметра (средства защиты от вредоносных программ).В современном ландшафте угроз куда вероятнее, что сеть уже скомпрометирована, но признаки атаки еще не удалось обнаружить. При таком допущении нужны совсем другие средства и методы противодействия угрозам, а также другие специалисты. Вместо обслуживания практически полностью автономных средств защиты новая стратегия предполагает создание Security Operations Center для постоянного активного поиска и противодействия угрозам.
Лаборатория Касперского предлагает Kaspersky Threat Management and Defense — комбинацию из сервисов и современных программных средств для поиска и анализа скрытых угроз. KTMD может стать основой для нового SOC или расширить арсенал средств в уже существующем.
Курс KL 025.37 посвящен программным средствам в составе KTMD: Kaspersky Anti Targeted Attack (KATA) Platform 3.7 и Kaspersky Endpoint Detection and Response (KEDR) 1.7.
По окончании курса участники будут понимать принципы работы KATA и KEDR, смогут развернуть решение для пилотной или промышленной эксплуатации, выполнить настройку и проверку работоспособности решения, а также продемонстрировать работу решения на примере тестового инцидента безопасности.
Целевая аудитория
Курс ориентирован на инженеров, в задачу которых входит внедрение, настройка и обслуживание решений Kaspersky Anti-Targeted Attack и Kaspersky Endpoint Detection and Response.Минимальные требования
Понимание основ сетевых технологий: DNS, маршрутизации, электронной почты, Web. Базовые навыки администрирования Windows и Linux. Представление о современных угрозах и тенденциях развития информационных технологий.
Содержание курса
Модуль 1. Позиционирование решения- Что умеет решение и кому оно будет полезно
- Лицензирование решения
- Знакомство с основными функциональными блоками
- Источники данных и представление результатов работы
- Ограничения использования решения
- Системные требования и масштабирование в соответствии с требованиями эксплуатации
- Типичные топологии
- Распределенная установка
- Планирование развертывания решения
- Установка серверов и агентов
- Подключение установленных компонентов друг к другу
- Подключение продукта к корпоративной сетевой инфраструктуре
- Активация компонентов
- Установка Центрального узла
- Установка и настройка сервера Sandbox
- Подключения Центрального узла к серверу Sandbox
- Установка лицензий
- Создание пользователей
- Развертывание ПО Endpoint Agent с помощью KSC
- Подключение Endpoint Agent к центральному узлу с помощью KSC
- Активация Endpoint Agent помощью KSC
- Настройка KATA для обработки SPAN-трафика
- Интеграция KATA с почтовой системой
- Исключение SMTP из анализа SPAN трафика
- Интеграция с прокси-серверами по ICAP
- Как убедиться в том, что все входные данные обрабатываются всеми системами безопасности
- Как собрать данные о работе и имеющихся ошибках для передачи в службу технической поддержки
- Как найти нужные файлы логов и конфигурационные файлы
- Проверка анализа SPAN-трафика
- Проверка анализа ICAP-трафика
- Проверка анализа SMTP-трафика
- Проверка работоспособности модуля IDS
- Проверка работоспособности модуля URL Reputation
- Проверка работоспособности модуля AM
- Проверка работоспособности модуля Sandbox
- Проверка работоспособности модуля TAA
- Проверка работоспособности модуля IOC Scan
- Как организовать демонстрацию возможностей продукта
- Демонстрация возможностей KEDR: генерация предупреждений модулем TAA, поиск угроз на узлах сети, изоляция скомпрометированных узлах, настройка реакции на найденные угрозы на узлах сети
- Демонстрация возможностей КАТА: генерация уведомлений на найденные угрозы в сетевом трафике, детектирование угроз KATA Sandbox
- Изучение подробных результатов анализа файла в KATA Sandbox (Debug Info)
- Настройка отправки уведомлений по Email
- Интеграция с корпоративной SIEM-системой
- Создание отчетов
- Настройка исключений с помощью "Белых списков"
- Формирование "VIP групп" для ограничения доступа к VIP-инцидентам
- Создание правил и исключений для TAA модуля
- Сканирование на наличие индикаторов компрометации (IOC)
- Создание правил для модуля IDS
- Создание правил для модуля YARA
- Создание пользовательских правил ТАА
- Создание исключений ТАА
- Импорт внешних правил Snort
- Создание исключений для IDS
- Создание пользовательских правил YARA
- Поддерживаемые сценарии обновления продукта
- Совместимость версий продукта
- Процедура обновления программного обеспечения
- Перенос данных при обновлении продукта
с 09.06.2021по 11.06.2021 |
Очная Онлайн |
Андрей Котровский | Оставить заявку |
