安全运营中心(SOC)实战培训课程(SIEM工具/QRadar日志分析)
-
-
【培训对象】
SOC分析师、安全运维工程师、安全监控人员、事件响应人员,负责企业安全监控和威胁分析的技术人员。
-
-
【培训目标】
一、 理解安全运营中心(SOC)的职能、架构和成熟度模型,掌握安全运营的标准化流程。
二、 熟悉SIEM(安全信息和事件管理)系统的核心功能,能够进行日志接入、解析和关联分析。
三、 掌握IBM QRadar等主流SIEM工具的使用,包括仪表盘定制、搜索语法、规则创建和告警配置。
四、 具备威胁监测、事件调查和初步响应的实战能力,能够根据告警进行溯源分析和闭环处置。
-
-
【培训内容介绍】
一、 SOC概述与职能:SOC核心职能(监控/分析/响应/狩猎)、人员角色分工(一级/二级/三级分析师)、成熟度模型。
二、 安全运营流程设计:事件分级响应机制(P0-P4)、服务台(Tier 1)-分析(Tier 2)-响应(Tier 3)流程设计。
三、 SIEM技术基础:SIEM核心功能(日志集中/标准化/关联分析/告警/报表)、部署架构(集中式/分布式)。
四、 日志接入与管理:各类日志源接入(网络设备/安全设备/服务器/应用)、Syslog配置、日志格式解析与标准化(LEEF/CEF)。
五、 QRadar基础架构:QRadar组件(Console/Event Collector/Flow Collector/Data Node)、部署模式、许可证管理。
六、 QRadar日志源配置:日志源类型配置、DSM(设备支持模块)选择、协议配置(Syslog/SNMP/API)、日志接收验证。
七、 QRadar搜索与报表:Ariel Query Language(AQL)查询语法、搜索技巧、报表定制与定时发送。
八、 关联规则创建:规则构建器(Rule Builder)、规则条件(When/And/Then)、响应动作、规则测试与优化。
九、 告警与事件管理:告警(Offense)生成机制、告警优先级与严重性计算、事件调查工作台使用。
十、 威胁情报集成:威胁情报来源、STIX/TAXII标准、QRadar威胁情报集成配置、情报驱动告警。
十一、 事件响应与处置:事件调查流程、取证数据收集、IoC(威胁指标)匹配、遏制与根除措施。
十二、 实战演练:使用QRadar接入多种模拟日志源,配置关联规则检测真实攻击场景(如暴力破解/Webshell上传),完成告警分析和事件响应报告。
如果您想学习本课程,请
预约报名
如果没找到合适的课程或有特殊培训需求,请
订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请
服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。
专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获
