Creating Advanced ESM Content for Security Use Cases

Курс Advanced ESM Content for Security Use Cases посвящен методологии решения проблем безопасности ArcSight в контексте ESM. Вы познакомитесь с новейшими методами использования содержимого ArcSight ESM для поиска, отслеживания и устранения последствий инцидентов безопасности на примере различных сценариев.

В рамках данного курса вы научитесь:

  • Использовать переменные и выполнять сопоставления.
  • Настраивать шаблоны отчетов для использования динамического контента.
  • Настраивать шаблоны оповещения для отправки соответствующих оповещений на основе определенных атрибутов события.

По окончании этого курса специалист сможет:

  • Определять сценарии использования в контексте ArcSight ESM.
  • Создавать требования и определять приоритеты для задач с помощью рабочей таблицы сценариев использования из начального отчета о проблеме.
  • Определять источники данных и ресурсы ESM, необходимые для выполнения задач сценария использования.
  • Создавать идентифицированный ESM-контент для выполнения требований сценария использования.
  • Создавать переменные ArcSight для проведения глубокого анализа потока событий.
  • Разрабатывать правила ArcSight для выполнения расширенных сопоставлений.
  • Проектировать, основанные на событиях, мониторы данных для контроля трафика и просмотра аномальных событий в режиме реального времени.
  • Внедрять пользовательские макросы Velocity для оповещений.
  • Создавать новые шаблоны отчетов и функциональные отчеты с использованием статистических данных и динамических значений.
  • Упаковывать разработанный контент ESM для сценариев использования в пакет ArcSight Resource Bundle.

Это расширенный курс предназначен для специалистов, в обязанности которых входит определение задач по обеспечению безопасности в организации и создание контента ArcSight ESM, необходимого для решения этих задач.

Метод проведения обучения: пятидневный курс в аудитории под руководством преподавателя.

The attendees of this course must have:

• Successfully completed the AESA [formerly ACSA] course
• 12 months experience creating ArcSight ESM content (recommended)
• An understanding of:
     — Network device functions and capabilities, such as routers, switches, etc.
     — Security device functions and capabilities, such as IDS/IPS, firewalls, etc.
     — TCP/IP networking, file system, and database concepts.
     — SOC Organizational structure and workflow hierarchy.
     — SIEM terminology, such as asset, threat, vulnerability, safeguard, etc.

Module 1 – Introduction

• ArcSight Use Case primer and course Use Cases
• Introduction to the Training Environment

Module 2 — Building Advanced Functions in ESM

• Using ArcSight Variables and Velocity Macros
• Advanced Data Monitors
• Working with Advanced Reports

Module 3 — Putting it all Together

• Use Case – Identifying Disabled User Activity
• Use Case – User Activity
• Use Case – Critical System Availability