Detaillierter Kursinhalt
Modul 1 - Implementierung von Splunk und SOAR
- Überprüfung von SOAR UI und Konzepten
- Beschreibung der Interaktionen zwischen Splunk und SOAR
- Identifizierung von Schlüsselkonzepten und Datenflüssen
- Voraussetzungen für die Integration
Modul 2 - Konfigurieren der externen Splunk-Suche
- Beschreiben Sie die Vorteile der Externalisierung der Suche in Splunk
- Konfigurieren Sie die SOAR-Instanz für die Externalisierung
- Konfigurieren Sie die Splunk-Instanz für die Externalisierung
- Verwenden Sie die Splunk-App für SOAR-Reporting
Modul 3 - Senden von Splunk-Ereignissen an SOAR
- Konfigurieren Sie das SOAR-Add-on für Splunk
- CIM-Felder auf CEF abbilden
- Senden Sie Enterprise Security-Meldungen an SOAR
- Automatisches Auslösen von SOAR-Playbooks für Splunk-Notables
Modul 4 - Zugriff auf Splunk von SOAR aus
- Installieren und konfigurieren Sie die SOAR-App für Splunk
- Ingest von Splunk-Ereignissen in SOAR
- Splunk-Suche aus Playbooks verwenden
- Update Splunk bemerkenswerte Ereignisse
Modul 5 - Benutzerdefinierte Kodierung in Playbooks
- Bewährte SOAR-Codierungsverfahren
- Schreiben, Verwenden und Verwalten von benutzerdefinierten Funktionen
- Verwendung der SOAR-API in benutzerdefiniertem Code
- Persistente Daten speichern und abrufen
Modul 6 - SOAR REST verwenden
- Verwendung von Django-Abfragen für die Suche nach Daten in SOAR
- REST für den Zugriff auf SOAR-Daten verwenden
- Verwenden Sie die HTTP-App zur Ausführung von REST aus Playbooks