Курс Платформа Kaspersky Anti Targeted Attack (KATA) и Kaspersky EDR

Код: KL 025.37

Продолжительность курса

24 Академических часа
Традиционная защита основывается на допущении, часто неявном, что сеть не скомпрометирована и задача средств защиты — сохранить это состояние сети. Соответственно, традиционные инструменты защиты анализируют изменения состояния: что проходит по сети через периметр (сетевые экраны, DLP) и что меняется на компьютерах внутри периметра (средства защиты от вредоносных программ).

В современном ландшафте угроз куда вероятнее, что сеть уже скомпрометирована, но признаки атаки еще не удалось обнаружить. При таком допущении нужны совсем другие средства и методы противодействия угрозам, а также другие специалисты. Вместо обслуживания практически полностью автономных средств защиты новая стратегия предполагает создание Security Operations Center для постоянного активного поиска и противодействия угрозам.

Лаборатория Касперского предлагает Kaspersky Threat Management and Defense — комбинацию из сервисов и современных программных средств для поиска и анализа скрытых угроз. KTMD может стать основой для нового SOC или расширить арсенал средств в уже существующем.

Курс KL 025.37 посвящен программным средствам в составе KTMD: Kaspersky Anti Targeted Attack (KATA) Platform 3.7 и Kaspersky Endpoint Detection and Response (KEDR) 1.7.

Стоимость курса

60 000 руб
Заказать

Цели курса:

По окончании курса участники будут понимать принципы работы KATA и KEDR, смогут развернуть решение для пилотной или промышленной эксплуатации, выполнить настройку и проверку работоспособности решения, а также продемонстрировать работу решения на примере тестового инцидента безопасности.

Аудитория

Курс ориентирован на инженеров, в задачу которых входит внедрение, настройка и обслуживание решений Kaspersky Anti-Targeted Attack и Kaspersky Endpoint Detection and Response.

От слушателя требуется

Понимание основ сетевых технологий: DNS, маршрутизации, электронной почты, Web. Базовые навыки администрирования Windows и Linux. Представление о современных угрозах и тенденциях развития информационных технологий.

Содержание курса

Модуль 1. Позиционирование решения
  • Что умеет решение и кому оно будет полезно
  • Лицензирование решения
Модуль 2. Функционирование решения
  • Знакомство с основными функциональными блоками
  • Источники данных и представление результатов работы
Модуль 3. Особенности внедрения решения
  • Ограничения использования решения
  • Системные требования и масштабирование в соответствии с требованиями эксплуатации
  • Типичные топологии
  • Распределенная установка 
Модуль 4. Установка и первоначальная настройка решения
  • Планирование развертывания решения
  • Установка серверов и агентов
  • Подключение установленных компонентов друг к другу
  • Подключение продукта к корпоративной сетевой инфраструктуре
  • Активация компонентов
  • Лабораторные работы Модуля 4:
  • Установка Центрального узла
  • Установка и настройка сервера Sandbox
  • Подключения Центрального узла к серверу Sandbox
  • Установка лицензий
  • Создание пользователей
  • Развертывание ПО Endpoint Agent с помощью KSC
  • Подключение Endpoint Agent к центральному узлу с помощью KSC
  • Активация Endpoint Agent помощью KSC
  • Настройка KATA для обработки SPAN-трафика
  • Интеграция KATA с почтовой системой
  • Исключение SMTP из анализа SPAN трафика
  • Интеграция с прокси-серверами по ICAP
Модуль 5.  Проверка работоспособности системы
  • Как убедиться в том, что все входные данные обрабатываются всеми системами безопасности
  • Как собрать данные о работе и имеющихся ошибках для передачи в службу технической поддержки
  • Как найти нужные файлы логов и конфигурационные файлы
  • Лабораторные работы Модуля 5:
  • Проверка анализа SPAN-трафика
  • Проверка анализа ICAP-трафика
  • Проверка анализа SMTP-трафика
  • Проверка работоспособности модуля IDS
  • Проверка работоспособности модуля URL Reputation
  • Проверка работоспособности модуля AM 
  • Проверка работоспособности модуля Sandbox
  • Проверка работоспособности модуля TAA
  • Проверка работоспособности модуля IOC Scan
Модуль 6. Демонстрация работы продукта
  • Как организовать демонстрацию возможностей продукта
  • Лабораторные работы Модуля 6:
  • Демонстрация возможностей KEDR: генерация предупреждений модулем TAA, поиск угроз на узлах сети, изоляция скомпрометированных узлах, настройка реакции на найденные угрозы на узлах сети
  • Демонстрация возможностей КАТА: генерация уведомлений на найденные угрозы в сетевом трафике, детектирование угроз KATA Sandbox
  • Изучение подробных результатов анализа файла в KATA Sandbox (Debug Info)
Модуль 7. Дальнейшая настройка продукта
  • Настройка отправки уведомлений по Email
  • Интеграция с корпоративной SIEM-системой
  • Создание отчетов
  • Настройка исключений с помощью  "Белых списков"
  • Формирование "VIP групп" для ограничения доступа к VIP-инцидентам
  • Создание правил и исключений для TAA модуля
  • Сканирование на наличие индикаторов компрометации (IOC)
  • Создание правил для модуля IDS
  • Создание правил для модуля YARA
  • Лабораторные работы Модуля 7:
  • Создание пользовательских правил ТАА
  • Создание исключений ТАА
  • Импорт внешних правил Snort
  • Создание исключений для IDS
  • Создание пользовательских правил YARA
Модуль 8. Обновление программного обеспечения
  • Поддерживаемые сценарии обновления продукта
    Совместимость версий продукта
    Процедура обновления программного обеспечения
    Перенос данных при обновлении продукта