HP ArcSight ESM Security Analyst

Курс HP ArcSight ESM Security Analyst обеспечит специалиста необходимыми знаниями, как отслеживать события безопасности с помощью HP ArcSight Console. Вы также узнаете, как выделять наиболее важные инциденты безопасности в текущем рабочем процессе системы НР ArcSight ESM.

По прохождении курса специалист научится встраивать, использовать стандартные настройки и инструменты HP ArcSight ESM, чтобы находить и коррелировать информацию о событиях, исполнять действия, такие, как уведомление заинтересованных лиц, использовать графический анализ данных о событиях и сообщения об инцидентах безопасности.

В результате прохождения данного курса специалист сможет:

  • Самостоятельно характеризовать cоставляющие продукта НР ArcSight ESM, которые производят, собирают, моделируют, располагают в порядке очередности, коррелируют, отслеживают, хранят и архивируют произведенные события.
  • Использовать НР ArcSight ESM для упорядочивания исходных данных для дальнейшей агрегации и корреляции, использования данных в фильтрах, правилах, мониторинге данных и отчетах.
  • Управлять консолью HP ArcSight ESM и приложением HP ArcSight WEB-user для эффективной корреляции, анализа и обнаружения скрытых угроз, оповещения об опасных ситуациях в режиме реального времени.

Этот базовый курс предназначен для операторов/аналитиков, которые намерены:

  • Использовать консоль HP ArcSight ESM 5.0 Console для мониторинга, отображения и сообщения об инцидентах безопасности.
  • Создавать или использовать стандартный контент для корреляции, обзора и реакции на инциденты безопасности.
  • Конструировать, развертывать и оказывать поддержку сетевой модели ArcSight для безошибочного создания контента, обзора и сообщений об инцидентах безопасности.

Чтобы успешно пройти этот курс, Вам необходимы следующие начальные навыки:

• Common security device functions, such as IDS/IPS, Network and Host-based firewalls, etc.
• Common network device functions, such as routers, switches, hubs, etc.
• TCP/IP functions, such as CIDR blocks, subnets, addressing, communications, etc.
• Windows operating system tasks, such as installations, services, sharing, navigation, etc.
• Possible attack activities, such as scans, man in the middle, sniffing, DoS, DDoS, etc and possible abnormal activities, such as worms, Trojans, viruses, etc.
• SIEM terminology, such as threat, vulnerability, risk, asset, exposure, safeguards, etc.
• Security directives, such as Confidentiality, Integrity, Availability.

Тренинг с инструктором проводится в учебном центре. Продолжительность тренинга — 5 дней.

Программа:

Module 1 – ArcSight ESM: Overview

• Describe ArcSight ESM Roles
• Describe ArcSight ESM Components
• Explain ArcSight ESM Resources
• Describe SSL Communications

Module 2 — ArcSight Event Schema

• Explain the Event Schema
• Outline Schema Definitions

Module 3 – Event Lifecycle

• Event Lifecycle Overview
• In-depth Explanation of Phase 1
• In-depth Explanation of Phase 2
• In-depth Explanation of Phase 3
• In-depth Explanation of Phase 4
• In-depth Explanation of Phase 5
• In-depth Explanation of Phase 6

Module 4 — Using ESM Console

• Provide a Console Overview
• Using the Navigator Panel
• Using the Viewer/Grid Panel
• Using the Inspect/Edit Panel
• Using the Console Help

Module 5 — Using Active Channels

• Active Channel Components
• Field Sets
• Creating Active Channel
• Creating Field Sets

Module 6 — Using Filters

• Explain Filters
• Using Filters in an Active Channel
• Debugging Active Channel Filters

Module 7 — Using Variables

• Explain Local and Global Variables
• Using Variables with ESM Resources
• Promoting Local Variables to Global Variables
• Sharing Global Variables Among Multiple Resources

Module 8 — Using Dashboards and Data Monitors

• Explain Dashboards
• Using Data Monitors
• Creating Dashboards
• Using Custom View Dashboards

Module 9 — ESM Rules

• Explain Rules
• Describe Rule Actions and Triggers
• Describe Active Lists
• Describe Session Lists

Module 10 — ESM Reports

• Explain Reports
• How to Run Reports
• Building Basic Reports
• Building Complex Reports

Module 11 — Query Viewers

• Explain Query Viewers
• Building Query Viewer Summaries
• Building Query Viewer Drilldowns
• Using Baselines
• How Dashboards and Reports Interact with Query Viewers

Module 12 — ESM Network Model

• Explain the ArcSight Network Model
• Explain Asset Modeling
• Using the Network Model Wizard

Module 13 — ESM Workflow

• Describe workflow and functions of workflow resources
• Understand the sequence of events in a workflow
• Case Creation
• Event Annotation

Module 14 — ArcSight ESM Web

• Home Display
• View Existing Dashboards
• View Existing Reports
• View Existing Active Channels

Смешанное онлайн-обучение: примерно 16 часов самостоятельного обучения + 8 часов обучения в виртуальном классе.

Программа:

Module 1 – Introduction to ArcSight

• Overview of ArcSight ESM

• ArcSight ESM Event Schema/Network Model
• Lifecycle of an Event in ArcSight ESM
• ArcSight ESM Workflow
• ESM Reference Resources

Module 2 — Introduction to the ArcSight ESM Console Interface

• Using the ESM 5.0 Console
• Using ArcSight Web

Module 3 — Viewing ArcSight ESM 5.0 Data

• Using Active Channels
• Using Filters
• Using Variables
• Using Dashboards and Data Monitors
• Using Event Graphs
• Using Custom View Dashboards

Module 4 — ArcSight ESM Rules and Lists

• ESM Rules Basics
• Using Lists

Module 5 — ArcSight ESM Reports and Query Viewers

• ESM Reports Overview
• Building Reports
• ArcSight Query Viewers

Module 6 — ArcSight ESM Network Model

• ArcSight Network and Asset Model

• Network Model Wizard

Module 7 — Building Active Rules (Virtual Classroom)

• Building Active Rules