Вендор: Kaspersky Lab / Лаборатория Касперского
Направление:
Продолжительность:
2 дн. | 16 а. ч.
Форма обучения:
дистанционно
Цена: 64000 руб.
KLE 025.8 Certified Professional: KATA EDR. Administration
Цель курса:
Изучаемые продукты
• Kaspersky Anti Targeted Attack Platform 8.0
• Kaspersky Security Center 16 Administration Server
• Kaspersky Endpoint Security for Windows 12.12
• Kaspersky Endpoint Security for Linux 12.4
Описание курса
Kaspersky Anti Targeted Attack Platform – решение, предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats ("APT"). Решение разработано для корпоративных пользователей и включает в себя два функциональных блока:
• Kaspersky Anti Targeted Attack ("KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
• Network Detection and Response ("NDR"), обеспечивающий защиту внутренней сети предприятия.
Теоретический материал и лабораторные работы дают необходимые знания и навыки, благодаря которым слушатель понимать принципы использования решения и сможет выполнять задачи по развертыванию и администрированию Kaspersky Anti Targeted Attack Platform
Целевая аудитория:
Курс ориентирован на инженеров, в задачу которых входит внедрение, настройка и обслуживание решений Kaspersky Anti-Targeted Attack и Kaspersky Endpoint Detection and Response.
После окончания курса Вы будете уметь:
- разворачивать решение для пилотной или промышленной эксплуатации,
- будете понимать принципы работы KATA и KEDR,
- выполнять настройку и проверку работоспособности решения,
- демонстрировать работу решения на примере тестового инцидента безопасности.
Предварительная подготовка:
- Понимание основ работы с Kaspersky Security Center.
- Понимание основ сетевых технологий: DNS, маршрутизации, электронной почты, Web.
- Базовые навыки администрирования Windows и Linux.
- Представление о современных угрозах и тенденциях развития информационных технологий.
Сложность курса: 2- опытный администратор
Возможная зарплата: 150000+
Разбор вашей ситуации: +
Часто задаваемые вопросы о курсе KL 025.8 KATA Administration и версии 8.0
Экспертные ответы по обнаружению целевых атак, настройке KATA 8.0 и интеграции с KSC 16
В чем ключевое отличие архитектуры Kaspersky Anti Targeted Attack Platform 8.0 от предыдущих версий?
Главное изменение — переход на микросервисную архитектуру и внедрение единого мастера развертывания. В версии 8.0 компоненты сенсоров (NTA, EDR) и центрального узла (Central Node) работают как независимые контейнеризированные модули. Это обеспечивает горизонтальное масштабирование и повышенную отказоустойчивость. В рамках обучения мы показываем, как правильно распределять роли между узлами кластера, чтобы избежать потери сетевых пакетов (Netflow) при пиковых нагрузках и организовать централизованное хранение телеметрии для задач ретроспективного анализа.
Что такое изолированная среда «Песочница» в новой версии и как изменилась детонация подозрительных файлов?
Подсистема Sandbox в KATA 8.0 получила улучшенное ядро эмуляции исполняемых файлов и офисных документов. Теперь поведенческий анализ в изолированной виртуальной среде занимает меньше времени за счет использования шаблонов «золотого образа» и политик анти-обнаружения (Anti-Evasion). В курсе мы подробно останавливаемся на том, как настроить глубину проверки для сжатых вложений (архивов) и URL-ссылок, а также разбираем, как платформа классифицирует сложные многоступенчатые угрозы (APT), используя движок корреляции событий.
Какую роль выполняет Kaspersky Security Center 16 при администрировании KATA?
Kaspersky Security Center 16 выступает не просто сервером управления, а унифицированной консолью для всей экосистемы защиты. В контексте KATA он отвечает за распространение сертификатов, активацию лицензий и прием сырых событий. Критически важной новой функцией является сквозная автоматизация реагирования: при обнаружении индикатора компрометации (IoC) на сенсоре KATA, KSC 16 мгновенно передает команду на изоляцию хоста в Kaspersky Endpoint Security (KES 12.12). На курсе мы выделяем отдельный модуль под корректную настройку политик защиты, чтобы исключить ложные блокировки и «закольцовывание» трафика.
Какие методы обнаружения сложных угроз появились в обновленном движке Threat Hunting?
В версии 8.0 кардинально улучшен интерфейс проактивного поиска угроз. Добавлен язык запросов с поддержкой регулярных выражений и визуальным конструктором графов MITRE ATT&CK. Новый движок использует алгоритмы машинного обучения для анализа аномалий сетевого трафика (NTA) и выявления бесфайловых атак в оперативной памяти. В рамках практикума по Threat Intelligence вы научитесь писать сложные запросы на поиск следов Lateral Movement и C2-коммуникаций без опоры на статические антивирусные сигнатуры.
Как в курсе рассматривается защита Linux-инфраструктуры с помощью KES 12.4 и KATA?
Защита Linux-сред в программе курса — это полноценный практический трек, а не просто обзор меню. Мы настраиваем интеграцию Kaspersky Endpoint Security 12.4 for Linux с платформой KATA для мониторинга целостности критичных файлов и обнаружения эксплойтов на уровне ядра ОС. Отдельно разбираются криптоконтейнеры и сценарии защиты Docker-контейнеров: вы увидите, как сенсор KATA анализирует межконтейнерный трафик (east-west traffic) для выявления атакующих действий внутри облачной инфраструктуры.
Подойдет ли данный курс администраторам, работающим только с KES 11.x и старыми версиями KSC?
Да, это идеальная возможность для миграции знаний. Весь первый модуль посвящен плавному переходу: мы сравниваем консоли администрирования MMC и Web Console, показываем утилиты резервного копирования и конвертации политик. Вы разберетесь, как перенести задачи и настроить группы администрирования без остановки защитных механизмов. Программа курса построена так, чтобы специалист с опытом работы на старых сборках не чувствовал пробелов в базовых знаниях администрирования системы.
Чем сертификация Лаборатории Касперского по KATA отличается от вендорских курсов по SOC и SIEM?
Сертификация подтверждает не только понимание интерфейса, но и умение строить полный цикл реагирования на атаки: от захвата пакетов до формирования Incident Response Report. В отличие от общих курсов по SOC, где используется SIEM для просмотра логов, здесь вы работаете непосредственно с сырой телеметрией с конечных точек (Endpoint Detection and Response) и сетевого сенсора. Вы получаете удостоверение о повышении квалификации государственного образца и вендорский сертификат, подтверждающий экспертизу именно в эшелонированной защите от вредоносного ПО и целевых атак.
Смогу ли я после окончания курса самостоятельно настроить ретроспективный анализ инцидента (Retro Scan)?
Безусловно. Самостоятельная настройка Retrospective Scan — это финальная лабораторная работа нашего курса. Мы создаем полигон, где имитируем заражение, пропущенное базовым набором правил. Вы научитесь загружать внешние индикаторы компрометации (STIX/OpenIOC), настраивать временной диапазон проверки хранилища сырых данных и генерировать отчеты для аудита информационной безопасности. Этот навык критически важен на собеседованиях на позиции инженера SOC.
Что входит в пакет слушателя помимо доступа к вебинару и записям?
Каждый участник получает полноценный комплект: доступ к виртуальному учебному классу с реальным оборудованием на время обучения, электронные практикумы по каждому модулю, методическое руководство по внедрению и, что самое важное для закрепления навыков, доступ к архиву видеозаписей на 3 месяца. Плюс одна бесплатная попытка сдачи сертификационного экзамена включена в стоимость, что обеспечивает комфортное завершение траектории обучения без доплат.