Kontakt aufnehmen

Schulungsübersicht

Modul 1: SIEM-Grundlagen, Architektur und Ökosystem-Übersicht

Etabliert ein umfassendes Verständnis der SIEM-Grundlagen (Security Information and Event Management), der Architektur der IBM QRadar-Plattform, deren Integration in das Ökosystem und des weiteren Landschaftsbereichs der Sicherheitsanalysen, einschließlich XDR, SOAR und Bedrohungsintelligenz-Plattformen.

1.1 Grundlagen der Sicherheitsanalysen und SIEM

  • Die SIEM-Landschaft: Entwicklung vom Log-Management zu Sicherheitsanalysen
  • SIEM vs. SOAR vs. XDR: Verständnis der Konvergenz von Sicherheitstools
  • Kernkomponenten von SIEM: Logsammlung, Normalisierung, Korrelation und Alarmierung
  • Ablauf des SOC-Analysten: Erkennung, Triagierung, Untersuchung und Reaktion
  • Übersicht über das MITRE ATT&CK-Framework und dessen Rolle bei der SIEM-Zuordnung

1.2 Architektur der IBM QRadar-Plattform

  • QRadar-On-Premise-Architektur: Ereignisprozessor, Log-Manager, Konsole und Flussprozessor
  • QRadar on Cloud: Multi-Tenant-Architektur, Ingestionsmodelle und Skalierbarkeit
  • QRadar-Hybridcloud-Bereitstellung: Kombination von On-Premise- und Cloud-Funktionen
  • Bereitstellungsoptionen: Virtuelle Appliances, Hardware Appliances und SaaS
  • High Availability (HA) und Active-Passive vs. Active-Active-Konfigurationen

1.3 QRadar-Komponenten und Navigation in der Konsole

  • IBM QRadar Console: Überblick über die Benutzeroberfläche, Arbeitsbereiche, Dashboards und Navigation
  • Ergänzende Apps, QRadar App Framework und IBM App Exchange
  • Context Explorer, Risk Analyzer und Integration von Bedrohungsintelligenz
  • Datenmodell: Hosts, Geräte, Protokolle und Kategorien in QRadar

1.4 Das QRadar-Ökosystem

  • IBM QRadar SOAR: Integration von Security Orchestration und automatisierter Reaktion
  • IBM QRadar EDR: Integration von Endpoint Detection and Response
  • Integration von Bedrohungsintelligenz (VTI-Feeds, benutzerdefinierte Threat Feeds)
  • Integration mit SIEM-Tools: Splunk, Elastic SIEM, IBM QRadar (Logquellverwaltung)

1.5 Integration in die IBM Security Suite

  • IBM QRadar SOAR-Integration für Automatisierung und Playbook-Orchestrierung
  • IBM QRadar EDR-Integration für Endpoint-Telemetrie
  • IBM QRadar VTI (Vulnerability and Threat Intelligence)-Integration
  • IBM QRadar App Exchange Apps und Add-ons
  • IBM QRadar Network Integration Platform (NFI)-Integration

An den Markt angepasste Kompetenzen: SIEM-Grundlagen, Security Information and Event Management, IBM QRadar-Plattformarchitektur, QRadar On-Prem-Bereitstellung, QRadar-Cloud-Architektur, Hybridcloud-Sicherheit, SOC-Betrieb und SIEM, Sicherheitsanalysen, XDR-Integration, SOAR-Plattform-Integration, Bedrohungsintelligenz-Plattform (TIP), MITRE ATT&CK-Framework-Zuordnung, Konvergenz von Sicherheitstools, Unternehmenssicherheitsarchitektur, Log-Management und Analysen, Skalierbarkeit und Kapazitätsplanung für SIEM, High-Availability-(HA)-Konfiguration, Navigation und Konfiguration der QRadar-Konsole

Modul 2: Verwaltung von Logquellen, Datenerfassung und Normalisierung

Tiefgehende Auseinandersetzung mit der Konfiguration von Logquellen, Strategien zur Datensammlung, Log-Normalisierung und Protokollen, die für die Etablierung einer übergreifenden Sicherheitsübersicht in On-Premise-, Cloud- und Hybridumgebungen unerlässlich sind.

2.1 Konfiguration von Logquellen und Protokolle

  • Methoden der Logsammlung: Syslog (RSYSLOG), Netzwerkverbindungen (CEF), Common Event Format (CEF) und QRadar Common Event Format (CEF)
  • CEF-Protokoll: Header, Erweiterungsnamen, benutzerdefinierte Erweiterungen und CEF-zu-CEF-Zuordnung
  • Netzwerkbasierte Logsammlung: NetFlow v5/v9, IPFIX (sFlow)
  • Agentenbasierte Sammlung (IBM QRadar Agent) für Endpoint-Sichtbarkeit
  • Konfiguration von Logquellen für Active Directory, DNS, DHCP, HTTP, SMTP und Datenbanken
  • Best Practices für die Bereitstellung von Logquellen: Hochdurchsatzquellen, Komprimierung und Verschlüsselung

2.2 Datenerfassung und Kapazitätsplanung

  • Verständnis des täglichen Logvolumens (GLP) und der täglichen Ingestionskapazität von Ereignisdaten
  • Datenaufbewahrungsrichtlinien und compliance-gesteuertes Aufbewahrungsmanagement
  • Priorisierung von Logquellen und Ereignisfilterung zur Kostenkontrolle
  • Kapazitätsplanung für Unternehmens-SIEM-Implementierungen im großen Maßstab
  • Dimensionierungsberechnungen und Leistungsoptimierung für große Umgebungen

2.3 Lognormalisierung und -klassifizierung

  • Der QRadar Normalisierungs-Engine: Zuordnung nativer Logformate zu QRadar-Protokollen
  • Log Source Property Manager und Protokollzuordnung
  • Erstellung benutzerdefinierter Logquellen für proprietäre Logs
  • Zuordnung von Ereignissen, Flüssen und Logquellen
  • Normalisierungsregeln und Fehlerbehebung bei Parsing-Problemen

An den Markt angepasste Kompetenzen: Verwaltung von Logquellen, Syslog-Konfiguration, CEF-Protokoll, Netzwerkverbindungen (CEF), QRadar Agent-Bereitstellung, Active Directory Logsammlung, DNS- und DHCP-Logsammlung, HTTP/S- und SMTP-Logsammlung, Integration von Datenbank-Logquellen (CEF), NetFlow- und IPFIX-Sammlung, agentenlose SIEM-Bereitstellung, Unternehmensstrategie zur Logsammlung, Lognormalisierung, Protokollzuordnung, Konfiguration benutzerdefinierter Logquellen, Ereignis-Parsing und -Klassifizierung, Schätzung des täglichen Logvolumens (DLV), SIEM-Kapazitätsplanung, Leistungstuning für großskalige SIEMs, compliance-gesteuerte Datenaufbewahrung

Modul 3: Erkennung, Korrelation und Regelentwicklung

Der Kern des SIEM-Betriebs: Erstellung, Testung und Verwaltung von Erkennungsregeln, von einfachen Ereignisregeln bis hin zu komplexen kombinierten Korrelationsregeln, die Angriffe, Anomalien und Richtlinienverletzungen identifizieren.

Der Kern des SIEM-Betriebs: Erstellung, Testung und Verwaltung von Erkennungsregeln, von einfachen Ereignisregeln bis hin zu komplexen kombinierten Korrelationsregeln, die Angriffe, Anomalien und Richtlinienverletzungen identifizieren.

3.1 Ereignisregeln und Aggregationsregeln

  • Ereignisregeln: Filtern, Extrahieren von Feldern und Erstellen benutzerdefinierter Attribute aus rohen Ereignissen
  • Aggregationsregeln: Zählen und Gruppieren von Ereignissen nach IP, Protokoll, Benutzer usw.
  • Aktionen für Aggregationsregeln: Benachrichtigungen, Schwellenwerte für Zähler und benutzerdefinierte Eigenschaften
  • Regelaktivierung, Regelreihenfolge und Regel-Ausführungslogik

3.2 Kombinierte Korrelationsregeln

    • Erstellung kombinierter Korrelationsregeln: Verknüpfung von Daten aus mehreren Quellen
      • Regeltypen: Ereignis, Aggregation und Kombinierte Korrelation
      • Komponenten der kombinierten Regel: Auslöser, Aggregationen, Korrelationen und Aktionen
      • Korrelationslogik: zeitliche Korrelation, Schwellenwertkorrelation und kontextuelle Korrelation
      • Eigenschaften von Vorhersage- und Korrelationsregeln: Konfidenzniveaus, Schweregrad und Eskalation
      • Schreiben effektiver Korrelationsregeln: Vermeidung von Alarmmüdigkeit und Sicherstellung der Signalqualität

3.3 Erkennungsregeln für MITRE ATT&CK-Techniken

      • Regeln, die auf MITRE ATT&CK-Techniken abgebildet sind: Initialer Zugriff, Ausführung, Persistenz, Privilegienerhöhung, Umgehung der Verteidigung, Zugriffsrechte auf Anmeldeinformationen, Entdeckung, Seitwärtsbewegung, Sammlung, Befehl und Steuerung (C2), Exfiltration
      • Benutzerdefinierte Erkennungen für spezifische Angriffs kategorien:
      • Regeln für: Brute-Force, Port-Scanning, Malware-Kommunikation, Insider-Bedrohung, Seitwärtsbewegung, Privilegienerhöhung, Datenexfiltration, Befehl und Steuerung (C2)
      • Regeln für: Brute-Force-Authentifizierungsfehler, Port-Scanning, SQL-Injection, DNS-Tunneling, Privilegienerhöhung, Seitwärtsbewegung via Pass-the-Hash

3.4 Threat Hunting mit QRadar-Regeln

      • Proaktive Methodik des Threat Hunkens mit QRadar
      • Erstellung von Regeln zur Erkennung unbekannter/Zero-Day-Bedrohungen
      • Regeln zur Verhaltensanalyse und Erkennung von Abweichungen von der Baseline

An den Markt angepasste Kompetenzen: Entwicklung von Ereignisregeln, Erstellung von Aggregationsregeln, Entwicklung kombinierter Korrelationsregeln, Design benutzerdefinierter Korrelationsregeln, MITRE ATT&CK-Zuordnung, Engineering von Bedrohungserkennung, Abbildung von Angriffstechniken (Initialeinfallstor, Ausführung, Persistenz, Privilegienerhöhung, Umgehung der Verteidigung, Zugriff auf Anmeldeinformationen, Entdeckung, Seitwärtsbewegung, Sammlung, Befehl und Steuerung, Exfiltration), Erkennung von Malware-Kommunikation, SQL-Injection-Erkennung, DNS-Tunneling-Erkennung, Regel zur Privilegienerhöhung, Brute-Force-Erkennung, Seitwärtsbewegungserkennung, Insider-Bedrohungserkennung, Datenexfiltrationserkennung, C2-Erkennung (Command and Control), Management von Alarmmüdigkeit, Feinabstimmung und Optimierung von Regeln, Engineering von SOC-Erkennungsregeln, Proaktives Threat Hunting

Modul 4: QRadar Offense Engine und Incident Investigation

Umfassende Abdeckung der QRadar Offense Engine: Erstellung von Vorfällen, Untersuchungsaussläufe, Kontextanalyse, Management falscher Positivmeldungen, Triagierung und Incident Handling.

4.1 Die Offense Engine

  • Erstellung von Vorfällen, Aggregation und Lebenszyklusmanagement
  • Eigenschaften von Vorfällen: Schweregrad, Konfidenz, Status und Zuschreibung
  • Logik der Vorfallsaggregation: Gruppieren zusammenhängender Ereignisse zu sinnvollen Incidents
  • Eskalation, Zuweisung und Workflow-Management von Vorfällen

4.2 Incident Investigation und Kontextanalyse

  • Context Explorer für tiefe Ereignisanalyse und Rekonstruktion des Zeitstrahls
  • Analyse des Ereigniszeitstrahls: chronologische Rekonstruktion von Sicherheitsvorfällen
  • IP-Adressanalyse und Anreicherung mit Reputation (Bedrohungsintelligenz)
  • Kontext für Benutzer und Assets: Benutzeraktivität, Host-Inventar und Risikobewertung von Assets
  • Korrelation von Ereignissen im Vorfalls- und Ereignisdetailbereich
  • Ereigniskorrelation, Ereignisgruppierung und Beweissammlung

4.3 Integration von Bedrohungsintelligenz

  • Integration von Vulnerability and Threat Intelligence (VTI)-Feeds
  • Automatisierte Anreicherung mit Bedrohungsintelligenz via IBM QRadar VTI
  • Hochladen benutzerdefinierter Threat Feeds und Profile von Threat Actors
  • Kontext von Bedrohungsintelligenz in Vorfallen und Risikobewertung

4.4 Management falscher Positivmeldungen und Regel-Feinabstimmung

  • Identifizierung und Klassifizierung falscher Positivmeldungen in der Offense Engine
  • Regeln zur Unterdrückung falscher Positivmeldungen und Unterdrückungsworkflows
  • Regel-Feinabstimmung: Reduzierung von Rauschen bei Beibehaltung der Erkennungsempfindlichkeit
  • Dokumentation von Vorfällen mit falschen Positivmeldungen zur kontinuierlichen Verbesserung

An den Markt angepasste Kompetenzen: Verwaltung der QRadar Offense Engine, Incident Investigation und Analyse, Bedrohungsuntersuchung, Verwendung des Context Explorers, Ereigniszeitstrahlanalyse, IP-Reputationsanalyse, Asset-Risikobewertung, Anreicherung mit Bedrohungsintelligenz, VTI-Feed-Integration, Management falscher Positivmeldungen, Alarm-Feinabstimmung und Rauschreduzierung, SOC-Incident-Response-Workflow, Lebenszyklus sicherheitsrelevanter Incidents, Analyse von Kompromittierungsindikatoren (IOCs), Zuschreibung von Cyberbedrohungen

Modul 5: QRadar Vulnerability Management (QVM) und Risk Manager (QRM)

Tiefgehende Auseinandersetzung mit IBM QVM: Integration der Schwachstellenscanner, risikobasierte Priorisierung von Schwachstellen, Konfiguration des Risikomanagements und risikogesteuerte Bewertung der Sicherheitslage.

5.1 IBM QRadar Vulnerability Manager (QVM)

  • QVM-Architektur: Integration mit Nessus, Qualys und Rapid7-Scannern
  • Schwachstellenscanning-Workflows und Scan-Planung
  • Parsing von Schwachstellenbewertungsergebnissen und QRadar-Integration
  • Korrelation der CVSS-Scores und Klassifizierung der Schweregrad von Schwachstellen
  • Trendanalyse von Schwachstellen und Priorisierung der Beseitigung

5.2 IBM QRadar Risk Manager (QRM)

  • QRM-Architektur: Engine zur Risikoerfassung und Methodik der Risikobewertung
  • Konfiguration von Risikoregeln: Asset-Kritikalität, Wahrscheinlichkeit der Schwachstellenausnutzung, Asset-Risikoprofile
  • Berechnung des Risikoscores: Kombination von Schwachstattendaten, Bedrohungsintelligenz, Vorfallsdaten und Asset-Wert
  • Risikobasierte Rangfolge von Assets und Konfiguration des Risiko-Dashboards
  • Risikogesteuerte Priorisierung von Assets und risikobasierte Priorisierung der Beseitigung

An den Markt angepasste Kompetenzen: Schwachstellenbewertung und -management, IBM QRadar Vulnerability Manager (QVM), CVSS-Score-Korrelation, Integration von Schwachstellenscannern, Qualys/Nessus-Integration, risikobasierte Priorisierung von Schwachstellen, IBM QRadar Risk Manager (QRM), Berechnung des Risikoscores, Bewertung der Asset-Kritikalität, risikogesteuerte Beseitigung, Konfiguration des Risiko-Dashboards, Trendanalyse von Schwachstellen, Unternehmensweites Schwachstellenmanagement, Unternehmensweite Risikobewertung und -management

Modul 6: QRadar SOAR, Automatisierung und Incident Response

Bedeckt IBM QRadar SOAR (Security Orchestration, Automation, and Response), Playbook-Orchestrierung, Runbook-Automatisierung und Incident Response Automation, die für modernen SOC-Betrieb unerlässlich sind.

6.1 Überblick über IBM QRadar SOAR

  • Sicherheit Orchestration und automatisierte Reaktion: Definition und Nutzen
  • QRadar SOAR-Architektur und Komponenten: Playbooks, Vorfälle, Automatisierungsaktionen und Datenaktionen
  • QRadar SOAR-Integration: Verbindung von SIEM, EDR, Bedrohungsintelligenz und Ticketing-Systemen (ServiceNow, Jira)
  • SOAR vs. traditionelle Automatisierung: Playbook-gesteuerte Workflow-Orchestrierung

6.2 Design und Ausführung von Playbooks

  • Erstellung von Playbooks: Aufbau automatisierter Untersuchungs- und Reaktionsworkflows
  • Auslöser für Playbooks: Vorfalls-Erstellung, Regelauslöser und manuelle Aktivierung
  • Aktionen in Playbooks: IP-Anreicherung, IPs blockieren, Tickets erstellen, Threat Feeds abfragen
  • Bedingungen und Verzweigungslogik für Playbooks

6.3 Automatisierung der Incident Response

  • Automatisierte Incident Response: Von der Alarmierung zur Eindämmung in Minuten
  • Automatisiertes Threat Hunting: playbook-gesteuerte Bedrohungsuntersuchung
  • Automatisierte Incident-Eindämmung: IP-Blockierung, Isolation von Endpunkten und Sperrung von Konten
  • Automatisierte Incident Response Workflows für Ransomware, Phishing, Brute-Force-Angriffe und Insider-Bedrohungen

6.4 Integration mit externen Systemen

  • QRadar SOAR-Integrationen mit ServiceNow, Jira, Slack, E-Mail und webbasierenden Systemen
  • Benutzerdefinierte API-Integration mit Bedrohungsintelligenz-Plattformen
  • EDR-Integration für automatisierte Endpoint-Aktionen
  • Payload-Analyse (Datei, URL, Domain) Automatisierung

An den Markt angepasste Kompetenzen: Security Orchestration, KI-Automatisierung und Antwort (SOAR), IBM QRadar SOAR, Playbook-Automatisierung, Runbook-Design, Orchestrierung automatisierter Incident Response Workflows, API-gesteuerte Sicherheitsautomatisierung, Integration von Bedrohungsintelligenz, Automatisierung der Incident-Eindämmung, Automatisierte Bedrohungsanalyse, ServiceNow-Integration für Sicherheit, Ticketing-System-Automatisierung, Endpoint-Reaktionsautomatisierung, Automatisierte IP-Schwarzliste, Phishing-Reaktionsautomatisierung, Ransomware-Reaktionsautomatisierung

Modul 7: QRadar Forensics, Netzwerkforensik und Datenanalyse

Bedeckt QRadar Incident Forensics (QRIF) und forensische Untersuchungsfunktionen, Netzwerkforensik (NFI) für die Analyse von Packet Captures sowie forensische Analyseverfahren, die in der Incident Investigation verwendet werden.

7.1 IBM QRadar Forensics (QRIF)

  • QRIF: Sammlung und Speicherung forensischer Daten für Untersuchungen
  • Forensische Datenquellen: Packet Captures, Ereignis-Logs und Endpoint-Forensik
  • Forensische Analyse: Zeitstrahlrekonstruktion, Dateianalyse und Netzwerkanalyse
  • Erhaltung forensischer Beweise und Chain of Custody
  • Forensische Analyse-Tools und -Techniken innerhalb von QRIF

7.2 Netzwerkforensik und Inspektion (NFI)

  • Netzwerkforensik: Analyse von Packet Captures und Inspektion des Netzwerkverkehrs
  • Analyse von Flussdaten: NetFlow, sFlow und IPFIX in der QRadar-Netzwerkforensik
  • Protokollanalyse: Inspektion von HTTP, DNS, SMTP, SSH, FTP und benutzerdefinierten Protokollen
  • Bedrohungserkennung durch Netzwerkforensik: C2-Beaconing, Datenexfiltration und Erkennung von Seitwärtsbewegungen
  • Identifizierung verdächtiger Verkehrsmuster

7.3 User and Entity Behavior Analytics (UEBA)

  • UEBA: Verständnis der Benutzerverhaltens-Baseline und Erkennung von Anomalien
  • UEBA-Datenquellen: Active Directory, Proxy-Logs, Endpoint-Logs, DLP-Logs, Authentifizierungslogs, Cloud-Logs
  • UEBA-Scoreing: Risikoscores für Benutzer und Entitäten
  • UEBA-gesteuerte Bedrohungserkennung: kompromittierte Konten, Insider-Bedrohungen und Datenexfiltration

An den Markt angepasste Kompetenzen: QRadar Incident Forensics (QRIF), forensische Datenerfassung, forensische Untersuchung und Analyse, Netzwerkforensik, Analyse von Packet Captures, Flussdatenanalyse, Bedrohungserkennung durch Netzwerkforensik, User and Entity Behavior Analytics (UEBA), Benutzeranomalie-Erkennung, Insider-Bedrohungserkennung, Erkennung kompromittierter Konten, Datenexfiltration über Benutzerverhalten, C2-Beaconing-Erkennung, Seitwärtsbewegungserkennung durch Netzwerkforensik, Digitale Forensik und Incident Response (DFIR), Beweiserhaltung und Chain of Custody, Protokollanalyse, Log-Forensik, Threat Hunting via Netzwerkanalysen

Modul 8: Cloud SIEM, SIEM-as-Code, Compliance und SIEM-Betrieb

Evaluierung des IBM QRadar-Betriebs, Skalierung, Compliance-Berichterstattung, Integration von Cloud SIEM, Praktiken von Detection-as-Code sowie SOC-Governance, die für unternehmensweite SIEM-Bereitstellungen unerlässlich sind.

8.1 QRadar-Betrieb und Administration

  • Administration von QRadar: Benutzerrollen, Berechtigungen und Sicherheitsrichtlinien
  • Auditing von QRadar-Konfigurationen und Zugriffslogs
  • Geplante Berichte und Design benutzerdefinierter Berichte für Management und Compliance
  • Geplante Aufgaben: Backup/Restore, Datenbankbereinigung und Wartung
  • Syslog-Server-Konfiguration für das SIEM-Log-Forwarding
  • Softwareupdates und Patch-Management für QRadar-Appliances

8.2 Compliance-Berichterstattung und regulatorische Zuordnung

  • PCI-DSS-SIEM-Anforderungen und QRadar-Compliance-Berichterstattung
  • Compliance-Zuordnung für HIPAA, GDPR, SOX, NIST CSF und ISO 27001 mit QRadar-Berichten
  • Regulatorische Audit-Berichterstattung: benutzerdefinierte Vorlagen für PCI-DSS- und HIPAA-Auditoren
  • Echtzeit-Compliance-Monitoring und Dashboards für kontinuierliche Compliance

8.3 SIEM-as-Code und Infrastructure as Code

  • Versionsgesteuertes SIEM-Regelmanagement: Git-basierte Regelbereitstellung
  • Terraform und Ansible für die Bereitstellung und Konfiguration von QRadar-Appliances
  • CI/CD-Pipeline für SIEM-Regeln und Playbooks
  • QRadar-API-gesteuerte Automatisierung für Regelbereitstellung und -management

8.4 Cloud SIEM und Hybridcloud-Sicherheit

  • Integration von Cloud-Logquellen: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor
  • Cloud-native SIEM-Strategien: SIEM für SaaS-Umgebungen (AWS, Azure, GCP, Office 365, AWS)
  • SIM-Integrationen mit Microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs und Google Cloud Logging
  • Cloud-Identitäts- und Zugriffsüberwachung: IAM, Active Directory, Entra ID
  • Schutz von Cloud-Workloads und SIEM-Integration

8.5 Identitätsbedrohungserkennung

  • Identität als neue Angriffsfläche: Erkennung von Kontokompromittierungen
  • Erkennung von Bedrohungen in Active Directory: Kerberoasting, AS-REP-Roasting, Golden/Sid-Ticket-Angriffe
  • Erkennung von MFA-Umgehung (Multi-Factor Authentication)
  • Überwachung von Privileged Identity Management (PIM)

8.6 Überwachung der Zero Trust-Architektur

  • Überwachung der Zero-Trust-Architektur: Identität, Gerät und Netzwerksteuerungen
  • Überwachung von Microsegmentation und Validierung der Richtliniendurchsetzung
  • Compliance-Berichterstattung für Zero Trust via SIEM-Integration

8.7 SOC-Betrieb und SIEM-Governance

  • SOC-Metriken und KPIs: MTTR (Mean Time to Respond), MTTD für SIEM-Monitoring
  • Bewertung der SOC-Reife und SIEM-gesteuerte Verbesserung des SOC
  • SIEM-Governance: Regelmanagement, Verfolgung falscher Positivmeldungen und kontinuierliche Verbesserung
  • Beste Praktiken für den SIEM-Betrieb: Überwachung, Alarmierung und Eskalationsverfahren

An den Markt angepasste Kompetenzen: QRadar-Administration, SIEM-Betrieb und -Management, SIEM-Compliance-Management, PCI-DSS-SIEM-Compliance-Berichterstattung, HIPAA- und GDPR-SIEM-Compliance, SOX- und ISO-27001-SIEM-Compliance, NIST-CSF-SIEM-Zuordnung, kontinuierliches Compliance-Monitoring, benutzerdefinierte Compliance-Berichterstattung, SIEM-as-Code und Infrastructure as Code, Terraform für SIEM, Ansible für die SIEM-Bereitstellung, CI/CD für SIEM-Regeln, QRadar-API-Automatisierung, Cloud-SIEM-Integration, AWS-CloudTrail-SIEM, Microsoft-Sentinel-Integration, GCP-Cloud-Logging-SIEM, Azure-Monitor-SIEM, Office-365-SIEM-Integration, Cloud-native SIEM, Zero-Trust-Überwachung, IAM-Bedrohungserkennung, Identitätsbedrohungserkennung, Active-Directory-Bedrohungserkennung, Kerberos-Angriffserkennung, Überwachung privilegierter Identitäten, Sicherheit der Multi-Faktor-Authentifizierung (MFA), Management von SOC-KPIs und -Metriken, Bewertung der SOC-Reife, beste Praktiken für den SIEM-Betrieb, Governance der Incident Response, Lebenszyklusmanagement von SIEM-Regeln, Unternehmensweite SIEM-Governance

Modul 9: Capstone-Projekt und reale Bedrohungsszenarien

Ein umfassendes praktisches Capstone-Projekt, das Unternehmenssicherheitsszenarien simuliert, einschließlich Bedrohungserkennung, Untersuchung und Incident Response mit IBM QRadar.

9.1 Capstone-Projekt: Unternehmenssicherheits-Szenario

  • Einrichten einer simulierten Unternehmensumgebung mit realistischen Logquellen und Angriffsszenarien
  • Bereitstellung von Logquellen und Konfiguration von Logsammelrichtlinien
  • Erstellen von Erkennungsregeln, die auf MITRE ATT&CK abgebildet sind
  • Untersuchung realer Vorfallsdaten in QRadar und Durchführung forensischer Analysen
  • Design und Bereitstellung von SOAR-Playbooks für automatisierte Reaktion
  • Generierung von Compliance-Berichten für PCI DSS, HIPAA und GDPR
  • Durchführung der Kapazitätsplanung und Skalierung der SIEM-Bereitstellung

9.2 Reale Bedrohungsszenarien

  • Simulierte Angriffe: Ransomware-Bereitstellung, Insider-Bedrohungen, Seitwärtsbewegungen, Brute-Force-Angriffe, Supply-Chain-Angriffe und Phishing
  • Erkennung von Ransomware: Seitwärtsbewegung, Daten-Staging und Erkennung der Seitwärtsbewegung
    • Insider-Bedrohung: Versuche der Datenexfiltration und Anomalieerkennung
    • Erkennung von Supply-Chain-Angriffen: Erkennung kompromittierter Zuliefererzugriffe
    • Phishing-Reaktion: Automatisierte URL-Blockierung und Email-Untersuchungsworkflows
  • Zero-Day-Threat-Hunting: Erkennung unbekannter Bedrohungen mittels regellosem Hunting
  • Erkennung von Advanced Persistent Threats (APT) unter Verwendung von UEBA und forensischer Analyse

An den Markt angepasste Kompetenzen: Lieferung von Capstone-Sicherheitsprojekten, Simulation unternehmensweiter SIEMs, Design realer Bedrohungsszenarien, Bereitstellung von MITRE-ATT&CK-Erkennungsregeln, SOC-Incident-Investigation, Design von QRadar SOAR Playbooks, Simulation der Ransomware-Reaktion, Erkennung von Insider-Bedrohungen, Automatisierung der Phishing-Reaktion, Erkennung von Supply-Chain-Angriffen, Zero-Day-Threat-Hunting, APT-Erkennung (Advanced Persistent Threat), SIEM-Kapazitätsplanung und Skalierung, Multi-Compliance-Berichterstattung (PCI DSS, HIPAA, GDPR), unternehmensweite Bedrohungsreaktion, forensische Bedrohungsuntersuchung, Anreicherung mit Bedrohungsintelligenz, automatisierte Incident-Eindämmung, Simulation des SOC-Betriebs, praxisnahe SIEM-Engineering-Übung

Voraussetzungen

  • Verständnis von IT-Sicherheit

Zielgruppe

  • Sicherheitstechniker
 14 Stunden

Teilnehmerzahl


Preis je Teilnehmer (exkl. USt)

Kommende Kurse

Verwandte Kategorien