Le SIEM
- Qu’est qu’un SIEM (Security Information Event Management) ?
- Pourquoi faut-il corréler les événements ?
- Les outils SIEM du marché.
L’architecture et l’interface de QRadar
- Présentation et positionnement de l’outil QRadar.
- Comment configurer QRadar SIEM pour collecter des données.
- Apprendre à détecter les activités suspectes.
- L'architecture et les composantes de QRadar SIEM et du flux de données.
- L'interface utilisateur de QRadar.
Travaux pratiques
Prise en main de l’interface de QRadar.
Analyse et recherche d’actions suspectes
- Enquêter sur les attaques suspectes.
- Chercher les violations de politiques de sécurité.
- Rechercher, filtrer, grouper et analyser les données de sécurité.
- Analyser les événements et les flux.
- Enquêter sur profils d'actifs.
Travaux pratiques
Mise en place d’une recherche d’attaques ou de violations de politiques de sécurité. Créer des alertes en temps réel.
Gestion des règles et des index
- Pourquoi la hiérarchie du réseau.
- Déterminer comment les règles examinent les données entrantes et créent des infractions.
- Comment utiliser les index et la gestion de données agrégées.
Travaux pratiques
Examiner les données entrantes et créer des infractions. Utilisation des règles et des index.
Les dashboards
- La gestion des dashboards.
- Les différents éléments d’un dashboard.
- Comment se déplacer entre les dashboards ?
- Personnaliser les dashboards et leurs éléments.
Travaux pratiques
Personnalisation des dashboards.
Les rapports
- Présentation des rapports.
- Les paramètres généraux.
- Les différents objets d'un rapport et leurs paramètres.
- Créer des rapports personnalisés.
Travaux pratiques
Création et utilisation de rapports.
Les filtres et la recherche avancée
- Les filtres disponibles et utilisables rapidement.
- Utiliser des filtres pour effectuer une recherche.
- Utilisation du langage AQL (Ariel Query Language) pour des recherches avancées.
Travaux pratiques
Mise en place des filtres et utilisation des recherches avancées.