Цель курса:
Платформа Kaspersky Anti Targeted Attack совместно с Kaspersky EDR представляет собой решение класса XDR (Extended Detection and Response) нативного типа и помогает организациям построить надежную систему защиты корпоративной инфраструктуры от сложных кибератак.
Теоретический материал и лабораторные работы дают слушателям необходимые знания и навыки, благодаря которым слушатель сможет спланировать и выполнить развертывание и настройку решения, будет понимать принципы использования решения и сможет выполнять задачи по его обслуживанию.
Изучаемые продукты
- Kaspersky Anti Targeted Attack Platform 5.0
- Kaspersky Endpoint Detection and Response 5.0
- Kaspersky Endpoint Agent 3.14
- Kaspersky Security Center 14.0
- Kaspersky Endpoint Detection and Response (Cloud) – отдельный модуль
Целевая аудитория:
Курс ориентирован на инженеров, в задачу которых входит внедрение, настройка и обслуживание решений Kaspersky Anti-Targeted Attack и Kaspersky Endpoint Detection and Response.
После окончания курса Вы будете уметь:
- разворачивать решение для пилотной или промышленной эксплуатации,
- будете понимать принципы работы KATA и KEDR,
- выполнять настройку и проверку работоспособности решения,
- демонстрировать работу решения на примере тестового инцидента безопасности.
Предварительная подготовка:
Понимание основ работы с Kaspersky Security Center.
Понимание основ сетевых технологий: DNS, маршрутизации, электронной почты, Web. Базовые навыки администрирования Windows и Linux. Представление о современных угрозах и тенденциях развития информационных технологий.
1. Введение
1.1. Изучаемые продукты и приложения
1.2. Ландшафт угроз
1.3. Проблемы при построении системы ИБ
1.4. Подходы к построению системы ИБ
1.5. Какие задачи заказчика помогает решить KATA Platform
2. Подготовка к внедрению
2.1. Основные возможности
2.2 Приложения и компоненты
2.2. Системные требования
2.3. Масштабирование
2.4. Типичные топологии
3. Развертывание платформы KATA
3.1. Организация процесса
3.2. Установка серверов
3.3. Активация и первоначальная настройка
3.4. Распределенная установка
3.5. Установка Kaspersky Endpoint Agent
Лабораторная работа 1. Установить и настроить центральный узел
Лабораторная работа 2. Настроить Kaspersky Sandbox
Лабораторная работа 3. Подключить центральный узел к Sandbox
Лабораторная работа 4. Активировать Центральный узел
Лабораторная работа 5. Создать учетную запись сотрудника службы безопасности
4. Эксплуатация KATA
4.1. Подключение к источникам трафика
4.2. Технологии обнаружения KATA
4.3. Обработка обнаружений
4.4. Идентификация угроз в трафике
Лабораторная работа 6. Подключить центральный узел к сетевой инфраструктуре (SPAN)
Лабораторная работа 7. Проверить, что анализ трафика работает
Лабораторная работа 8. Подключить центральный узел к почтовой системе по протоколу SMTP
Лабораторная работа 9. Настроить почтовый сервер посылать копии сообщений на центральный узел
Лабораторная работа 10. Проверить, что анализ почты работает
Лабораторная работа 11. Устранить многократную проверку почтовых сообщений
Лабораторная работа 12. Подключить сенсор к прокси-серверу (ICAP)
Лабораторная работа 13. Проверить, что анализ ICAP-трафика работает
Лабораторная работа 14. Устранить многократную проверку http-трафика
5. Эксплуатация KEDR
5.1. Технологии обнаружения KEDR
5.2. Расследование инцидента
5.3. Реагирование на инцидент
6. Технология Sandbox
6.1. Результаты анализа Sandbox
7. Обслуживание платформы KATA
7.1. VIP-статус
7.2. Проверка архивов с паролем
7.3. External API
7.4. Отчеты
7.5. Почтовые уведомления
7.6. Интеграция с SIEM
7.7. Мониторинг сервера по SNMP
7.8. Сбор информации о системе
7.9. Обновление
7.10 Сохранение и восстановление настроек
7.11 Обновление версии
7.12 Изменение системных настроек
7.13 Kaspersky Private Security Network (KPSN)
Лабораторная работа 15. Установить Kaspersky Endpoint Agent с помощью KSC
Лабораторная работа 16. Подключить Kaspersky Endpoint Afent к центральному узлу
Лабораторная работа 17. Активировать Kaspersky Endpoint Agent
Лабораторная работа 18. Проверить, что подсистема TAA работает
Лабораторная работа 19. Симулировать вредоносную нагрузку
Лабораторная работа 20. Продемонстрировать результаты работы KATA
Лабораторная работа 21. Демонстрация анализа и реагирования на обнаружение TAA
Лабораторная работа 22. Изучить подробности выполнения файла в песочнице
Лабораторная работа 23. Добавить сторонние правила IDS
Лабораторная работа 24. Написать свое правило IDS
Лабораторная работа 25. Создать исключение для IDS-правила
Лабораторная работа 26. Написать свое правило Yara
Лабораторная работа 27. Настроить интеграцию с Active Directory
Лабораторная работа 28. Работа с API
8. Отдельный модуль • Kaspersky Endpoint Detection and Response (Cloud)