OBJECTIFS PEDAGOGIQUES
QRadar est un outil de corrélation d’événements permettant de collecter et trier les informations pertinentes générées par les différents dispositifs de sécurité. Ce cours permettra de configurer l’application, analyser le flux des données et générer les rapports en fonction des alertes pré-paramétrées.
PUBLIC
Administrateurs systèmes et réseaux. |
PRE-REQUIS
Connaissances de base des réseaux et des systèmes. |
CONTENU
Le SIEM
- Qu’est qu’un SIEM (Security Information Event Management) ?
- Pourquoi faut-il corréler les événements ?
- Les outils SIEM du marché.
L’architecture et l’interface de QRadar
- Présentation et positionnement de l’outil QRadar.
- Comment configurer QRadar SIEM pour collecter des données.
- Apprendre à détecter les activités suspectes.
- L’architecture et les composantes de QRadar SIEM et du flux de données.
- L’interface utilisateur de QRadar.
Analyse et recherche d’actions suspectes
- Enquêter sur les attaques suspectes.
- Chercher les violations de politiques de sécurité.
- Rechercher, filtrer, grouper et analyser les données de sécurité.
- Analyser les événements et les flux.
- Enquêter sur profils d’actifs.
Gestion des règles et des index
- Pourquoi la hiérarchie du réseau.
- Déterminer comment les règles examinent les données entrantes et créent des infractions.
- Comment utiliser les index et la gestion de données agrégées.
Les dashboards
- La gestion des dashboards.
- Les différents éléments d’un dashboard.
- Comment se déplacer entre les dashboards ?
- Personnaliser les dashboards et leurs éléments.
Les rapports
- Présentation des rapports.
- Les paramètres généraux.
- Les différents objets d’un rapport et leurs paramètres.
- Créer des rapports personnalisés.
Les filtres et la recherche avancée
- Les filtres disponibles et utilisables rapidement.
- Utiliser des filtres pour effectuer une recherche.
- Utilisation du langage AQL (Ariel Query Language) pour des recherches avancées. |