آموزش مدیریت مدرن IBM QRadar 7.5 SIEM

سرفصل ها و درس ها

معرفی و نصب Introduction & Installation

• یک کلمه سریع از من به شما A quick word from me to you

• مقدمه و درباره مربی Introduction & About the instructor

• یادداشت سریع در مورد منابع خارجی - مهم! Quick note about external resources - Important!

• مقدمه ای بر SIEM Introduction to SIEM

• مقدمه ای بر QRadar Introduction to QRadar

• لطفا قبل از نصب QRadar این را بخوانید! Please read this BEFORE installing QRadar!

• نصب QRadar Installing QRadar

• بلع رویدادها از یک ماشین ویندوز Ingesting events from a Windows machine

• بلع رویدادها از فایروال PfSense Ingesting events from PfSense firewall

نمای کلی QRadar QRadar overview

• رابط کاربری User Interface

• جستجوی اساسی Log Activity Log Activity basic searching

• خدمات QRadar QRadar Services

قوانین Rules

• الزامات نصب برنامه های آینده Requirements for upcoming application installations

• از Case Manager، Rules و Building Blocks استفاده کنید Use Case Manager, Rules and Building Blocks

• استفاده از قوانین داخلی AQL Using AQL inside rules

• قوانین عیب یابی Troubleshooting rules

• قوانین بهینه سازی Optimizing rules

• شناسایی قوانین گران قیمت Identifying expensive rules

• مثال عملی شماره 1 - قوانین SIGMA Practical Example #1 - SIGMA rules

• مثال عملی شماره 2 - قوانین فایروال Practical Example #2 - Firewall rules

• مثال عملی شماره 3 - ترجمه گزارش های تهدید به قوانین Practical Example #3 - Translating Threat Reports to Rules

کار با داده های مرجع Working with Reference Data

• انواع مختلف داده های مرجع Different types of Reference Data

• استفاده از داده های مرجع با رابط کاربری پیش فرض Using Reference Data with the default user interface

• یکپارچه سازی داده های مرجع و قوانین Integrating Reference Data and Rules

• مشاوره در مورد برخورد با حجم عظیمی از داده های مرجع Advice on dealing with massive amounts of Reference Data

مدیریت QRadar - پیکربندی سیستم QRadar Administration - System Configuration

• هاست های مدیریت شده Managed hosts

• سلسله مراتب شبکه Network hierarchy

• بروزرسانی های خودکار Automatic updates

• حفظ رویداد Event retention

• پشتیبان گیری و بازیابی Backup and recovery

• قالب های ایمیل تخلف سفارشی Custom offense Email templates

مدیریت QRadar - بهینه سازی عملکرد QRadar Administration - Performance Optimization

• مدیریت شاخص Index management

• پیکربندی محدودیت های منابع Configuring resource restrictions

• قوانین مسیریابی Routing Rules

مدیریت QRadar - پیکربندی منبع داده QRadar Administration - Data Source Configuration

• پرس و جوهای XPath XPath queries

• مدیریت منبع لاگ Log source management

• ادغام رویداد Event coalescing

• ثبت گروه های منبع Log source groups

• در حال صادر کردن داده های رویداد Exporting event data

• انواع منبع گزارش سفارشی (DSM)/نگاشت رویداد Custom log source types (DSM) / Event Mappings

• ویژگی های سفارشی AQL Custom AQL Properties

• ویژگی های رویداد سفارشی Custom event properties

مدیریت QRadar - تنظیم دقت QRadar Administration - Accuracy Tuning

• پیکربندی MaxMind GeoIP Configuring MaxMind GeoIP

• بررسی تغییرات GeoIP Verifying GeoIP Changes

• پیکربندی X-Force Integration Configuring X-Force Integration

مدیریت QRadar - مدیریت کاربر QRadar Administration - User Management

• مدیریت کاربران Managing users

• نقش های کاربر User roles

• پروفایل های امنیتی Security profiles

• مدیریت احراز هویت و مجوز کاربر Managing user authentication & authorization

مدیریت QRadar - گزارش، جستجو و مدیریت تخلف QRadar Administration - Reporting, Searching & Offense Management

• مدیریت گزارشات Managing reports

• استفاده از انواع مختلف جستجو Utilizing different search types

• مدیریت تخلفات Managing offenses

• به اشتراک گذاری محتوا بین کاربران Sharing content among users

مدیریت QRadar - مستاجرین و دامنه ها QRadar Administration - Tenants and Domains

• تمایز بین سلسله مراتب شبکه و تعریف دامنه Differentiating between network hierarchy and domain definition

• مدیریت دامنه ها و مستاجران Managing domains and tenants

• نظارت بر استفاده از مجوز Monitoring license usage

• انتساب کاربران به مستاجران Assigning users to tenants

مدیریت QRadar - عیب یابی QRadar Administration - Troubleshooting

• پاسخگویی و برخورد با اعلان های سیستم Responding to and dealing with system notifications

• عیب یابی مشکلات رایج Troubleshooting common issues

• عیب یابی اپلیکیشن ها Troubleshooting applications

• عیب یابی عملکرد سرویس Troubleshoot service performance

کار با کنسول QRadar Working with the QRadar Console

• اتصال به کنسول Connecting to the Console

• فایل سیستم QRadar QRadar filesystem

• اجرای AQL در داخل کنسول Running AQL inside the Console

• خدمات عیب یابی Troubleshooting services

• نرخ و اتصال عیب‌یابی رویدادها Troubleshooting events rate and connectivity

• انجام استقرار دستی Performing a manual deploy

• در حال برگرداندن گواهی SSL به امضای محلی Reverting SSL certificate to locally signed

• حذف یک قانون به طور مستقیم از کنسول Deleting a rule directly from the console

• لیست دستورات مفید کنسول Useful Console commands list

کار با API Working with the API

• اصول QRadar API QRadar API basics

• مثال - اسکریپت پایتون با API QRadar Example - Python script with QRadar API

موارد استفاده عملی برای استقرارهای جدید/موجود Practical Use Cases for New/Existing Deployments

• هشدار در مورد منابع گزارش غیر گزارش Alerting on non-reporting log sources

• هشدار در دامنه های غیر گزارش دهی Alerting on non-reporting domains

• هشدار در مورد ویژگی های سفارشی غیر فعال Alerting on disabled custom properties

• هشدار در مورد استفاده از دیسک از اخطار/حداکثر آستانه فراتر رفت Alerting on disk usage exceeded warning/maximum threshold

• هشدار درباره رویدادها حذف شد Alerting on events dropped

• خطای DSM "بارگیری داده انجام نشد". DSM "Failed to load data" error

• ایجاد داشبوردهای مفید با پالس Creating useful dashboards with Pulse

• کار با Threat Intelligence Working with Threat Intelligence

• کار با QRadar Deployment Intelligence Working with QRadar Deployment Intelligence

• مراحل اجباری پس از ارتقاء CPU کنسول Mandatory steps after upgrading Console CPU

• سیاههها در حال کوتاه شدن/تقسیم می شوند Logs are being truncated / split

• یادداشت های بخش Section Notes

• نکاتی در مورد به روز رسانی برنامه ها Notes about updating applications

پایان دوره - تبریک! Course End - Congratulations!

• یادداشت های پایانی End Notes