courseoutline_metadesc.tpl

Using Splunk Enterprise Security (USES) – Details

Detaillierter Kursinhalt

Thema 1 - Erste Schritte mit ES

  • Beschreiben Sie die Funktionen und Möglichkeiten von Splunk Enterprise Security (ES)
  • Erläutern, wie MAB Sicherheitsexperten dabei hilft, Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren
  • Beschreiben Sie Korrelationsrecherchen, Datenmodelle und bemerkenswerte Ereignisse
  • Beschreiben Sie die Benutzerrollen in ES
  • Melden Sie sich bei Splunk Web an und greifen Sie auf Splunk for Enterprise Security zu.

Thema 2 - Sicherheitsüberwachung und Untersuchung von Vorfällen

  • Verwenden Sie das Security Posture Dashboard zur Überwachung des ES-Status
  • Verwenden Sie das Incident Review Dashboard, um bemerkenswerte Ereignisse zu untersuchen
  • Übernehmen Sie die Verantwortung für einen Vorfall und bringen Sie ihn durch den Untersuchungsablauf
  • Erstellen Sie bemerkenswerte Ereignisse
  • Bemerkenswerte Ereignisse unterdrücken

Thema 3 - Risikobasierte Alarmierung

  • Einen Überblick über die risikobasierte Alarmierung geben
  • Anzeige von Risikomerkmalen und Risikoinformationen auf dem Dashboard für die Vorfallsprüfung
  • Erläutern Sie die Risikobewertungen und wie Sie die Risikobewertung eines Objekts ändern können.
  • Überprüfen Sie das Dashboard der Risikoanalyse
  • Beschreiben Sie Anmerkungen
  • Beschreiben Sie den Prozess zum Abrufen von LDAP-Daten für eine Asset- oder Identitätssuche

Thema 4 - Nachforschungen

  • Verwendung von Untersuchungen zur Verwaltung der Reaktion auf Vorfälle
  • Verwenden Sie die Investigation Workbench zur Verwaltung, Visualisierung und Koordinierung von Unfalluntersuchungen
  • Hinzufügen verschiedener Elemente zu Ermittlungen (Notizen, Aktionsverlauf, Mitwirkende, Ereignisse, Assets, Identitäten, Dateien und URLs)
  • Verwendung von Untersuchungszeitplänen, Listen und Zusammenfassungen zur Dokumentation und Überprüfung der Analyse von Sicherheitsverletzungen und der Bemühungen zur Schadensbegrenzung

Thema 5 - Verwendung von Sicherheitsdomänen-Dashboards

  • Verwenden Sie ES, um Ereignisse zu prüfen, die für die Untersuchung aktiver oder vergangener Vorfälle relevante Informationen enthalten.
  • Identifizierung von Sicherheitsdomänen in ES
  • Verwendung von ES-Sicherheitsdomänen-Dashboards
  • Starten von Dashboards für Sicherheitsbereiche aus der Vorfallsprüfung und aus Aktionsmenüs in Suchergebnissen

Thema 6 - Web Intelligence

  • Nutzen Sie die Web Intelligence Dashboards zur Analyse Ihrer Netzwerkumgebung
  • Ereignisse filtern und hervorheben

Thema 7 - Benutzerintelligenz

  • Bewerten Sie den Grad der Insider-Bedrohung anhand der Dashboards für Benutzeraktivitäten und Zugriffsanomalien
  • Verstehen von Vermögens- und Identitätskonzepten
  • Verwenden Sie die Asset- und Identitätsermittler zur Analyse von Ereignissen
  • Verwenden Sie die Sitzungszentrale zur Identitätsauflösung
  • Diskussion über die Integration von Splunk User Behavior Analytics (UBA)

Thema 8 - Informationen über Bedrohungen

  • einen Überblick über das Threat Intelligence Framework und die Konfiguration von Threat Intelligence in ES geben
  • Verwenden Sie das Dashboard Bedrohungsaktivität, um zu sehen, welche Bedrohungsquellen mit Ihrer Umgebung interagieren.
  • Verwenden Sie das Threat Artifacts Dashboard, um den Status der Threat Intelligence-Informationen in Ihrer Umgebung zu überprüfen

Thema 9 - Protokollintelligenz

  • Erklären, wie Netzwerkdaten in Splunk-Ereignisse eingegeben werden
  • Beschreiben Sie Stream-Ereignisse
  • Geben Sie einen Überblick über die Protocol Intelligence Dashboards und wie sie zur Analyse von Netzwerkdaten verwendet werden können