Современные SIEM-системы являются важной частью инфраструктуры информационной безопасности и позволяют своевременно выявлять угрозы и инциденты. В рамках программы слушатели изучают архитектуру и возможности Wazuh, осваивают подключение агентов, настройку правил, анализ событий безопасности и механизмы реагирования. Практический подход курса позволяет получить навыки построения и сопровождения системы мониторинга безопасности организации.
Программа курса посвящена изучению SIEM-системы Wazuh и подходам к мониторингу событий информационной безопасности. Слушатели познакомятся с архитектурой платформы, научатся разворачивать и настраивать компоненты Wazuh, подключать агенты и анализировать события безопасности. В рамках курса рассматриваются механизмы корреляции событий, контроль целостности файлов (FIM), аудит конфигураций (SCA), детектирование уязвимостей, интеграция с Sysmon и Auditd, работа с Threat Intelligence и Active Response. Практические занятия помогают освоить настройку SIEM для выявления инцидентов и автоматизации реагирования.
Для кого актуально:
Специалистов Security Operations Center (SOC)
Системных администраторов и IT-инженеров
Инженерам по информационной безопасности
DevOps-инженерам и студентам технических специальностей
Программа:
7 часов лекций / 7 часов практики / 2 часа самостоятельной работы
Архитектура SIEM-системы Wazuh. Развертывание и инициализация.
Подключение агентов Wazuh.
Централизованное управление агентами.
Логирование и источники данных.
Декодеры в Wazuh.
Правила в Wazuh.
Контроль целостности (FIM).
Аудит конфигураций (SCA).
Детектор уязвимостей.
Интеграция с Sysmon и Auditd.
Обогащение данных (Threat Intelligence).
Активное реагирование (Active Response).
Мониторинг контейнеров.
Визуализация, API и отчетность.
Автор Михаил Рытов
Зав. кафедрой «Системы информационной безопасности» доктор технических наук, доцент. Профессор по специальности МСЗИ и ИБ