IBM Qradar SIEM: Från nybörjare till avancerad nivå Träningskurs

Modul 1: SIEM/Grunder, arkitektur och översikt av ekosystemet

Skapar en omfattande förståelse för grunderna inom SIEM (Security Information and Event Management), IBM QRadar-plattformens arkitektur, dess integrering i ekosystemet och den bredare landskapet för säkerhetsanalys inklusive XDR, SOAR och hotintelligensplattformar.

1.1 Säkerhetsanalys och SIEM-grunder

• SIEM-landscape: utvecklingen från logghantering till säkerhetsanalys
• SIEM jämfört med SOAR och XDR: förstå konvergensen av säkerhetsverktyg
• Komponenter i SIEM: insamling av loggar, normalisering, korrelation och varningssystem
• SOC-analytikerflödet: detektion, triage, utredning och svar
• Översikt över MITRE ATT&CK-ramverket och dess roll i SIEM-kartläggning

1.2 IBM QRadar-plattformens arkitektur

• QRadar on-premises arkitektur: Event Processor, Log Manager, Console och Flow Processor
• QRadar på molnet: fleranvändararkitektur, insamlingsmodeller och skalbarhet
• QRadar Hybrid Cloud-installation: kombination av lokala och molnfunktioner
• Installationsalternativ: Virtua Appliance, Hårdvaruappliance och SaaS
• Hög tillgänglighet (HA) och Active-Passive jämfört med Active-Active-konfigurationer

1.3 QRadar-komponenter och navigering i konsolen

• IBM QRadar Console: gränssnittsöversikt, arbetsytor, dashboardar och navigering
• Kompletterande appar, QRadar App Framework och IBM App Exchange
• Context Explorer, Risk Analyzer och integrering av hotintelligens
• Datamodell: Värddatorer (Hosts), Enheter, Protokoll och Kategorier i QRadar

1.4 QRadar-ekosystemet

• IBM QRadar SOAR: säkerhetsorchestrering och automatiskt svar
• IBM QRadar EDR: detektion av slutpunkter och svar
• Hotintelligensintegration (VTI-flöden, anpassade hotflöden)
• Integration med SIEM-verktyg: Splunk, Elastic SIEM, IBM QRadar (hantering av loggkällor)

1.5 Integration med IBM Security Suite

• IBM QRadar SOAR-integration för automatisering och playbok-orchestrering
• IBM QRadar EDR-integration för slutpunkts-telemetry
• IBM QRadar VTI (Sårbarhets- och Hotintelligens) integration
• IBM QRadar App Exchange-appar och tillägg
• IBM QRadar Network Integration Platform (NFI)-integration

På marknaden anpassade kompetenser: SIEM-grunder, Säkerhetsinformation och evenemangshantering, IBM QRadar-plattformens arkitektur, QRadar on-Prem-installation, QRadar molnarkitektur, Säkerhet i hybridmolnet, SOC-verksamhet och SIEM, Säkerhetsanalys, XDR-integration, SOAR-plattformsintegration, Hotintelligensplattform (TIP), Kartläggning av MITRE ATT&CK-ramverket, Konvergensen av säkerhetsverktyg, Företagets säkerhetsarkitektur, Logghantering och analys, SIEM-skalerbarhet och kapacitetsplanering, Hög tillgänglighet (HA)-konfiguration, QRadar Console-navigering och konfigurering

Modul 2: Hantering av loggkällor, datainsamling och normalisering

Djupdykning i konfiguration av loggkällor, strategier för datainsamling, loggnormalisering och protokoll som är avgörande för att skapa översikt över företags säkerhet i lokala, moln- och hybridmiljöer.

2.1 Konfiguration av loggkällor och protokoll

• Metoder för loggsamling: Syslog (RSYSLOG), Nätverksanslutningar (CEF), Common Event Format (CEF) och QRadar Common Event Format (CEF)
• CEF-protokoll: rubrik, förlängningsnamn, anpassade förlängningar och CEF-till-CEF-mapping
• Nätverksbaserad loggsamling: NetFlow v5/v9, IPFIX (sFlow)
• Agentbaserad insamling (IBM QRadar Agent) för slutpunktsöverblick
• Konfiguration av loggkällor för Active Directory, DNS, DHCP, HTTP, SMTP och databaser
• Bästa praxis för distribution av loggkällor: källor med hög genomströmning, komprimering och kryptering

2.2 Datainsamling och kapacitetsplanering

• Förståelse för dagligt volym av loggfiler (GLP) och kapacitet för daglig datainsamling av evenemang
• Datahämningspolicyer och compliance-drivna hantering av hämning
• Prioritering av loggkällor och händelsefiltrering för att kontrollera kostnaderna
• Kapacitetsplanering för SIEM-installationer i företagsstorlek
• Dimensioneringsberäkningar och prestandaoptimering för miljöer i stor skala

2.3 Loggnormalisering och klassificering

• QRadar Normalization Engine: mappa inbyggda loggformat till QRadar-protokoll
• Hantering av loggkällparametrar och protokollmapping
• Skapande av anpassade loggkällor för proprietära loggar
• Mappning av evenemang, flöden och loggkällor
• Normaliseringsregler och felsökning av parsingsproblem

På marknaden anpassade kompetenser: Hantering av loggkällor, Syslog-konfiguration, CEF-protokoll, Nätverksanslutningar (CEF), QRadar Agent-deployment, Samling av Active Directory-loggar, DNS- och DHCP-loggsamling, HTTP/S- och SMTP-loggsamling, Integration av databasloggning (CEF), NetFlow- och IPFIX-samling, Agentlös SIEM-deployment, Strategisk logginsamling i företaget, Loggnormalisering, Protokollmapping, Konfiguration av anpassade loggkällor, Händelseparsing och klassificering, Estimering av dagligt loggvolymer (DLV), Kapacitetsplanering för SIEM, Prestandatuning för SIEM i stor skala, Compliance-driven datahämningshantering

Modul 3: Detektion, korrelation och regelutveckling

Kärnan i SIEM-operationer: bygga, testa och hantera detektionsregler från enkla händelseregler till komplexa sammansatta korrelationsregler som identifierar attacker, anomaler och policyöverträdelser.

Kärnan i SIEM-operationer: bygga, testa och hantera detektionsregler från enkla händelseregler till komplexa sammansatta korrelationsregler som identifierar attacker, anomaler och policyöverträdelser.

3.1 Händelseregler och aggregationsregler

• Händelseregler: filtrering, extrahering av fält och skapande av egna attribut från råa händelser
• Aggregationsregler: räkning och gruppering av händelser efter IP, protokoll, användare, etc.
• Aggeringsregelaktioner: aviseringar, tröskelvärden för räknare och egna egenskaper
• Aktivering av regler, regelordning och logik för regelutförande

3.2 Sammansatta korrelationsregler

• Skapande av sammansatta korrelationsregler: koppla data från flera källor
• Regeltyper: Händelse, Aggregation och Sammansatt Korrelation
• Komponenter i sammansatta regler: triggers, aggregations, korrelationer och åtgärder
• Korrelationslogik: temporär korrelation, tröskelkorrelation och kontextuell korrelation
• Egenskaper för prognos- och korrelationsregler: konfidensnivåer, allvarlighetsgrad och eskalering
• Skriv effektiva korrelationsregler: undvik alert fatigue och säkerställ signal kvalitet

3.3 Detektionsregler för MITRE ATT&CK-tekniker

• Regler mappade till MITRE ATT&CK-tekniker: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control (C2), Exfiltration
• Custom detections för specifika attackkategorier:
• Regler för: Brute Force, Port Scanning, Malware Communication, Insider Threat, Lateral Movement, Privilege Escalation, Data Exfiltration, Command-and-Control (C2)
• Regler för: Brute-Force Authentication Failures, Port Scanning, SQL Injection, DNS Tunneling, Privilege Escalation, Lateral Movement via Pass-the-Hash

3.4 Hotjakt med QRadar-regler

• Proaktiv hotjakt metodologi med QRadar
• Bygga regler för detektion av okända/zero-day hot
• Atbeteendeanalys och regler för detektion av avvikelser från baslinjer

På marknaden anpassade kompetenser: Händelseregelutveckling, Skapande av aggregationsregler, Utveckling av sammansatta korrelationsregler, Design av anpassade korrelationsregler, Kartläggning av MITRE ATT&CK, Ingenjörskap för hotdetektion, Mappning av attacktekniker (Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration), Detektion av malware-kommunikation, Detektion av SQL-injektion, Detektion av DNS-tunneling, Regel för privilege escalation, Detektion av brute force, Detektion av lateral movement, Detektion av insider hot, Detektion av dataexfiltration, Detektion av Command-and-Control (C2), Hantering av alert fatigue, Tuning och optimering av regler, Ingenjörskap av SOC-detektionsregler, Proaktiv hotjakt

Modul 4: QRadar Offense Engine och incidentutredning

Täcker QRADAR Offense Engine i djupet: skapande av offense, utredningsflöden, kontextanalys, hantering av falska positiva resultat, triage och incidenthantering.

4.1 Offense Engine

• Skapande av offense, aggregation och livscykelhantering
• Egenskaper för offense: allvarlighetsgrad, konfidens, status och tillrägning
• Aggregationslogik för offense: gruppera relaterade händelser till meningsfulla incidenter
• Eskalering, tilldelning och workflowhantering av offense

4.2 Incidentutredning och kontextanalys

• Context Explorer för djup händelseanalys och rekonstruktion av tidslinjen
• Tidslinjeanalys av händelser: kronologisk rekonstruktion av säkerhetsincidenter
• IP-adressanalys och berikning med rykte (Hotintelligens)
• Användar- och tillgångskontext: användaraktivitet, värdinventory och analys av tillgångsrisker
• Korrelationshändelser i visningar för offense och händelsedetaljer
• Händelsekorrelation, gruppering av händelser och insamlning av bevis

4.3 Integration av hotintelligens

• Integration av Vulnerability and Threat Intelligence (VTI)-flöden
• Automatisering av hotintelligensberikning med IBM QRadar VTI
• Ladda upp anpassade hotflöden och hotaktörprofiler
• Kontext för hotintelligens i offense och riskanalys

4.4 Hantering av falska positiva resultat och regeljustering

• Identifiera och klassificera falska positiva resultat i Offense Engine
• Regler för att undertrycka falska positiva resultat och arbetsflöden för undertryckning
• Justering av regler: minska brus samtidigt som detektionskänslighet bibehålls
• Dokumentera incidenter med falska positiva resultat för ständiga förbättringar

På marknaden anpassade kompetenser: Hantering av QRadar Offense Engine, Utredning och analys av incidenter, Hotutredning, Användning av Context Explorer, Tidslinjeanalys av händelser, Analys av IP-rykte, Analys av tillgångsrisker, Berikning med hotintelligens, Integration av VTI-flöden, Hantering av falska positiva resultat, Justering av aviseringar och minska brus, SOC-arbetsflöde för incidentrespons, Livscykeln för säkerhetsincidenter, Analys av indikationer på kompromettering, Tilldelning av cyberhot

Modul 5: QRadar Sårbarhetshantering (QVM) och Risk Manager (QRM)

Djupdykning i IBM QVM: integrering av sårbarhetssökning, riskbaserad prioritering av sårbarheter, konfiguration av riskhantering och bedömning av säkerhetsstatus driven av risk.

5.1 IBM QRadar Vulnerability Manager (QVM)

• QVM-arkitektur: integration med Nessus, Qualys och Rapid7-skannrar
• Schemaläggning av arbetsflöden för sårbarhetssökning och skanningar
• Parsning av resultat från sårbarhetsbedömningar och QRadar-integration
• Korrelation av CVSS-poäng och klassificering av sårbarhetsallvarlighetsgrad
• Trendanalys av sårbarheter och prioritering av åtgärder

5.2 IBM QRadar Risk Manager (QRM)

• QRM-arkitektur: riskberäkningsmotor och metodik för riskbetyg
• Konfiguration av riskregler: tillgångskritikalitet, sannolikhet för utnyttjande av sårbarheter, tillgångens riskprofiler
• Beräkning av riskpoäng: kombinera sårbarhetsdata, hotintelligens, offense-data och tillgångsvärde
• Prioritering av tillgångar baserat på risk och konfiguration av riskdashboard
• Prioritering av åtgärder för tillgångar driven av risk och prioritering av åtgärder driven av risk

På marknaden anpassade kompetenser: Sårbarhetsbedömning och hantering, IBM QRadar Vulnerability Manager (QVM), Korrelation av CVE-poäng, Integration av sårbarhetssökning, Integration av Qualys/Nessus, Riskbaserad prioritering av sårbarheter, IBM QRadar Risk Manager (QRM), Beräkning av riskpoäng, Bedömning av tillgångskritikalitet, Åtgärder driven av risk, Konfiguration av riskdashboard, Trendanalys av sårbarheter, Företagshanterad sårbarhetshantering, Företagsbredd riskbedömning och hantering

Modul 6: QRadar SOAR, Automatisering och Incidentrespons

Täcker IBM QRadar SOAR (Security Orchestration, Automation, and Response), playbok-orchestrering, runbook-automatisering och automatisk incidentrespons som är avgörande för modern SOC-verksamhet.

6.1 Översikt över IBM QRadar SOAR

• Säkerhetsorchestrering och automatiskt svar: definition och värde
• QRadar SOAR-arkitektur och komponenter: playbooks, incidenter, automationsåtgärder och dataåtgärder
• QRadar SOAR-integration: ansluta SIEM, EDR, hotintelligens och biljettsystem (ServiceNow, Jira)
• SOAR jämfört med traditionell automatisering: playbook-driven workflow-orchestrering

6.2 Design och utförande av playbooks

• Skapa playbooks: bygga automatiserade utrednings- och svarsarbetsflöden
• Playbook-triggers: skapande av offense, regeltriggers och manuell aktivering
• Playbook-åtgärder: berika IP-adresser, blockera IPs, skapa biljetter, fråga hotflöden
• Playbook-villkor och grenningslogik

6.3 Automatisering av incidentrespons

• Automatiserad incidentrespons: från varning till inneslutning på några minuter
• Automatiserad hotjakt: playbook-driven hotutredning
• Automatiserad inneslutning av incidenter: IP-blockering, isolering av slutpunkter och suspension av konton
• Automatiserade arbetsflöden för incidentrespons för ransomware, phishing, brute-force-attacker och insider-hot

6.4 Integration med externa system

• QRadar SOAR-integrationer med ServiceNow, Jira, Slack, e-post och webhook-baserade system
• Anpassad API-integration med plattformar för hotintelligens
• EDR-integration för automatiska slutpunkt åtgärder
• Automatisering av analys av payload (fil, URL, domän)

På marknaden anpassade kompetenser: Säkerhetsorchestrering, AI-automatisering och svar (SOAR), IBM QRadar SOAR, Playbook-automatisering, Design av runbooks, Orchestrering av arbetsflöden för automatiserad incidentrespons, API-driven säkerhetsautomatisering, Integration av hotintelligens, Automatisering av inneslutning av incidenter, Automatisk analys av hot, Integration av ServiceNow för säkerhet, Automatisering av biljettsystem, Automation av slutpunktsrespons, Automatisk svartlisting av IP:er, Automatisering av phishing-svar, Automatisering av svar på ransomware

Modul 7: QRADAR forensik, nätverksforensik och dataanalys

Täcker QRadar Incident Forensics (QRIF) och möjligheter för forensisk utredning, nätverksforensik (NFI) för analys av paketinfångstängningar och tekniker för forensisk analys som används i incidentutredning.

7.1 IBM QRadar Forensics (QRIF)

• QRIF: insamling och lagring av forensiska data för utredningar
• Källor för forensiska data: paketinfångstängningar, händelseloggar och slutpunktsforensik
• Forensisk analys: rekonstruktion av tidslinje, filanalys och nätverksforensisk analys
• Förvaring av bevis och kedjor av förvaring (chain-of-custody)
• Verktyg och tekniker för forensisk analys inom QRIF

7.2 Nätverksforensik och inspektion (NFI)

• Nätverksforensik: analys av paketinfångstängningar och inspektion av nätverkstrafik
• Analys av flödesdata: NetFlow, sFlow och IPFIX i QRadar Network forensics
• Protokollanalys: HTTP, DNS, SMTP, SSH, FTP och anpassad protokollinspektion
• Hotdetektion via nätverksforensik: C2-beaconing, dataexfiltration och detektion av lateral movement
• Identifiering av misstänkta trafikmönster

7.3 User and Entity Behavior Analytics (UEBA)

• UEBA: förståelse för användarens beteendebaslinje och detektion av anomaler
• UEBA-datakällor: Active Directory, proxyloggar, slutpunktsloggar, DLP-loggar, autentiseringsloggar, molnloggar
• UEBA-betygning: användares riskpoäng och enheternas riskpoäng
• Hotdetektion driven av UEBA: komprometterade konton, insider-hot och dataexfiltration

På marknaden anpassade kompetenser: QRadar Incident Forensics (QRIF), Insamling av forensiska data, Utredning och analys av forensik, Nätverksforensik, Analys av paketinfångstängningar, Analys av flödesdata, Hotdetektion via nätverksforensik, User and Entity Behavior Analytics (UEBA), Detektion av användaranomalier, Detektion av insider-hot, Detektion av komprometterade konton, Dataexfiltration via användarbeteende, Detektion av C2-beaconing, Lateral Movement via nätverksforensik, Digital forensik och incidentrespons (DFIR), Förvaring av bevis och kedjor av förvaring, Protokollanalys, Forensisk analys av säkerhetsloggar, Hotjakt via nätverksanalys

Modul 8: Moln-SIEM, SIEM-as-Code, Compliance och SIEM-operationer

Utvärderar IBM QRadar-operationer, skalning, compliance-rapportering, integration av moln-SIEM, detektions-kod-praxis och SOC-styrning som är avgörande för enterprise-skala SIEM-deployment.

8.1 QRADAR operationer och administration

• Administrera QRadar: användarroller, behörigheter och säkerhetspolicyer
• Auditera QRadars konfigurationer och åtkomstloggar
• Schemalagda rapporter och design av anpassade rapporter för ledning och compliance
• Schemalagda uppgifter: backup/restore, databasrengöring och underhåll
• Konfiguration av syslog-server för vidarebefordran av SIEM-loggar
• Mjukvaruuppdateringar och patchhantering för QRadar-appliances

8.2 Compliance-rapportering och reglering mapping

• PCI DSS SIEM-krav och QRAdars compliance-rapportering
• HIPAA, GDPR, SOX, NIST CSF och ISO 27001 compliance-mapping med QRadar-rapporter
• Rapportering för regulatorisk revision: anpassade mallar för rapporter för PCI DSS- och HIPAA-revisorer
• Real-time övervakning av compliance och dashboards för löpande compliance

8.3 SIEM-as-Code och Infrastructure as Code

• Versionskontrollerad hantering av SIEM-regler: Git-baserad deployment av regler
• Terraform och Ansible för QRadar appliance-provisioning och konfiguration
• CI/CD-pipeline för SIEM-regler och playbooks
• API-driven automatisering i QRADAR för regeldeployment och hantering

8.4 Moln-SIEM och Hybrid Cloud Säkerhet

• Integration av molnloggkällor: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor
• Molnnativa SIEM-strategier: SIEM för SaaS-miljöer (AWS, Azure, GCP, Office 365, AWS)
• microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs, Google Cloud Logging SIEM-integrationer
• Övervakning av molnidentitet och åtkomst: IAM, Active Directory, Entra ID
• Beskydd av molnarbetsterminaler och SIEM-integration

8.5 Identitets Hotdetektion

• Identitet som den nya hotgränsen: detektion av kontokompromettering
• Hotdetektion för Active Directory: Kerberoasting, AS-REP roasting, Golden/Sid ticket attacks
• Detektering av kringgående av Multi-Factor Authentication (MFA)
• Övervakning av Privileged Identity Management (PIM)

8.6 Nolltillitsövervakning (Zero Trust Monitoring)

• Övervakning av nolltillitsarkitektur: identitet, enhet och nätverkskontroller
• Övervakning av mikrosegmentering och validering av policyenforcement
• Reportering av compliance för nolltillit via SIEM-integration

8.7 SOC-operationer och SIEM-styrning

• SOC-metriker och KPI: MTTR (Mean Time to Respond), MTTD för SIEM-övervakning
• Bedömning av SOC:s mognadsgrad och förbättring av SOC driven av SIEM
• SIEM-styrning: hantering av regler, spårning av falska positiva resultat och ständiga förbättringar
• Bästa praxis för SIEM-operationer: övervakning, varningar och eskaleringsprocedurer

På marknaden anpassade kompetenser: QRADAR Administration, SIEM-operationer och hantering, SIEM Compliance-hantering, PCI DSS SIEM Compliance-rapportering, HIPAA- och GDPR SIEM Compliance, SOX och ISO 27001 SIEM Compliance, NIST CSF SIEM Mapping, Löpande övervakning av compliance, Anpassad rapportering för compliance, SIEM-as-Code och Infrastructure as Code, Terraform för SIEM, Ansible för SIEM-deployment, CI/CD för SIEM-regler, QRADAR API-automatisering, Integration av Moln-SIEM, AWS CloudTrail SIEM, Microsoft Sentinel-integration, GCP Cloud Logging SIEM, Azure Monitor SIEM, Office 365 SIEM-integration, Molnnativ SIEM, Övervakning av nolltillit (Zero Trust), Detektion av IAM-hot, Detektion av identitetshot, Detektion av Active Directory-hot, Detektion av Kerberos-attacker, Övervakning av privilegiert identitet, Säkerhet för Multi-Factor Authentication (MFA), Hantering av SOC KPI och Metriker, Bedömning av SOC:s mognadsgrad, Bästa praxis för SIEM-operationer, Styrning av incidentrespons, Livscykelhantering av SIEM-regler, Företagshanterad SIEM-styrning

Modul 9: Avslutande projekt och verklighetsnära hotscenarier

Ett omfattande praktiskt avslutande projekt som simulerar företagssäkerhetsscenario inklusive hotdetektion, utredning och incidentrespons med hjälp av IBM QRADAR.

9.1 Avslutande Projekt: Företagssäkerhetsscenario

• Setup av simulerad företagsmiljö med realistiska loggkällor och attackscenarier
• Distribuera loggkällor och konfigurera policyer för loggsamling
• Bygga detektionsregler mappade till MITRE ATT&CK
• Utreda verklighetsnära offense-data i QRADAR och utföra forensisk analys
• Designa och distribuera playbooks för SOAR för automatiskt svar
• Gena compliance-rapporter för PCI DSS, HIPAA och GDPR
• Utföra kapacitetsplanering och skala SIEM-deploymenten

9.2 Verklighetsnära Hotscenarier

• Simulerade attacker: distribution av ransomware, insider-hot, lateral movement, brute-force-attacker, supply chain-attacker och phishing
• Detektering av ransomware: lateral movement, data staging och detektion av lateral movement
• Insider-hot: försök till dataexfiltration och detektion av anomaler
• Deketektion av supply chain-attacker: detektion av komprometterad leverantörstillgång
• Svar på phishing: automatisk blockering av URL:er och arbetsflöden för utredning av e-post
• Hotjakt på zero-day hot: detektion av okända hot med hjälp av jakttekniker utan regler
• Dektering av Advanced Persistent Threat (APT) med UEBA och forensisk analys

På marknaden anpassade kompetenser: Leverans av säkrhetsprojekt i avslutande moment, Simulation av företags-SIEM, Design av verklighetsnära hotscenarier, Deployment av detektionsregler mappade till MITRE ATT&CK, Utredning av SOC-incidenter, Design av playbooks för QRADAR SOAR, Simulation av svar på ransomware, Detektion av insider-hot, Automatisering av svar på phishing, Detektion av supply chain-attacker, Hotjakt på zero-day hot, Dektering av Advanced Persistent Threat (APT), Kapacitetsplanering och skalning av SIEM, Multi-compliance-rapportering (PCI DSS, HIPAA, GDPR), Företagshanterad svar på hot, Forensisk hotutredning, Berikning med hotintelligens, Automatiserad inneslutning av incidenter, Simulation av SOC-operationer, Överligger SIEM-ingenjörskonstövning