感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
开源SIEM主权
- 为什么云SIEM在日志保留方面会带来合规性和成本风险。
- Wazuh架构:服务器、索引器、仪表板和代理。
- 与Splunk、Sentinel、Elastic Security和QRadar的比较。
部署与架构
- 单节点和分布式部署模式。
- Docker Compose和Kubernetes清单。
- 硬件规格:CPU、RAM、磁盘IOPS以支持日志摄取。
- 组件通信的证书和TLS配置。
代理管理
- 通过包管理器、Ansible或GPO安装代理。
- 代理注册、密钥交换和组分配。
- 通过syslog、AWS S3或API轮询进行无代理监控。
- 在大规模集群中的代理升级策略。
检测工程
- 用于日志解析和事件提取的解码器和规则。
- MITRE ATT&CK映射到规则类别。
- 文件完整性监控(FIM)和Rootkit检测。
- 使用XML和YAML语法的自定义规则。
- 威胁情报集成:MISP、VirusTotal和AlienVault。
事件响应与自动化
- 主动响应:防火墙阻断、账户禁用、进程终止。
- SOAR集成:Shuffle、n8n或自定义Webhooks。
- 告警关联和多阶段攻击链。
- 案例管理和证据保存。
合规性与报告
- PCI-DSS、HIPAA、GDPR和NIST控制映射。
- 密码强度、加密和补丁管理的策略监控。
- 定期报告生成和导出。
- 审计跟踪完整性和防篡改检测。
仪表板与可视化
- Wazuh仪表板定制和部件创建。
- Grafana集成以实现高级可视化。
- Kibana兼容性,支持遗留Elastic部署。
- 执行层和运营层的SOC视图。
维护与扩展
- 索引器分片管理和热-温-冷数据归档。
- 日志保留策略和法律保留程序。
- 灾难恢复和集群重建。
要求
- 中级Linux和Windows系统管理经验。
- 了解SIEM概念:关联、告警和日志聚合。
- 有Elastic Stack或OpenSearch使用经验。
受众
- 希望替换商业SIEM的安全运营中心。
- 需要本地日志保留的合规团队。
- 需要主权威胁检测的政府机构。
21 小时
客户评论 (2)
培训师非常乐于助人。
Attila - Lifial
课程 - Compliance and the Management of Compliance Risk
机器翻译
实验练习
Tse Kiat - ST Engineering Training & Simulation Systems Pte. Ltd.
课程 - Automated Monitoring with Zabbix
机器翻译
