Formazione \ Formazione Cytrix \ Sicurezza \ LOG MANAGEMENT

LOG MANAGEMENT

Codice:    


Durata (gg):    

5 GG


Obiettivi didattici:    

Il percorso di formazione in LOG MANAGEMENT offre contenuti di assoluta eccellenza per tutti i professionisti chiamati a progettare, configurare o gestire delle strutture preposte alla raccolta e gestione di piattaforme SIEM (Security Information and Event Management), dei Log Sistemistici e di Sicurezza.
Il corso offre inoltre una approfondita panoramica sui rischi e le modalità di realizzazione di attacchi informatici e sulle soluzioni commerciali o gratuite utili per identificare, tracciare e segnalare tali attività.
I discenti saranno inoltre chiamati a predisporre opportune configurazioni di tracciatura e di allarmistica a partire da queste stesse soluzioni.


Metodologia didattica:   

Il corso è organizzato su una didattica di tipo teorico/pratica che consente all'allievo di ottenere tutte le nozioni e le capacità operative necessarie a gestire un’infrastruttura di Log Management anche molto complessa. La parte pratica, in particolare, si focalizzerà sull’offrire al discente tutte le esperienze essenziali a garantirgli l’autonomia operativa utile a poter identificare, classificare e gestire le tracciature inerenti le varie tipologie di minacce informatiche.
L'attività didattica prevede che i contenuti del corso vengono affrontati in un razionale di 60% per la teoria e del 40% per le sessioni di pratica.

Il nostro approccio modula l’offerta formativa attraverso una accurata e delicata gestione dei processi e delle interazioni con i discenti lasciando al nostro formatore il compito di attivare il loro interesse e la loro collaborazione e aiutandoli a svincolarsi da ogni ostacolo e resistenza nel percorso di crescita. A supporto del raggiungimento di questi obiettivi i nostri formatori approcciano il corso attraverso la metodologia detta “dei piccoli gruppi interattivi” e con le tecniche ad essa più congeniali: griglie di analisi, casi didattici, compiti progettuali, simulazioni, filmati, ecc…. Attraverso il nostro metodo si realizza un insegnamento personalizzato e individuale, integrato da momenti di esercitazioni pratiche atte a verificare l'apprendimento e la preparazione del discente.


Destinatari:   

Il corso permette ai partecipanti di apprendere come progettare, gestire e mantenere una infrastruttura informatica volta al log e al suo trattamento. I destinatari sono quindi operatori o gestori con alle spalle almeno due anni di esperienza pratica di tipo sistemistico o in ambito di Sicurezza.

Prerequisiti:    

L'iter formativo richiede almeno una delle seguenti precondizioni:

  • esperienza in amministrazione di sistemi Microsoft Windows o Linux,
  • esperienza di amministrazione o configurazione di sistemi di rete o di sicurezza in ambito perimetrale,
  • almeno due anni di esperienza operativa in ambienti di rete di tipo enterprise.
  • Esperienza pluriennale nella progettazione di reti o infrastrutture di servizio complesse,


per poter garantire la completa e soddisfacente fruizione dei contenuti esposti in aula.
L'allievo seguirà comunque un approccio graduale e calibrato ai contenuti proposti ed sarà accompagnato passo passo da istruttori qualificati.


Conoscenze in uscita:    

Il corso permette di apprendere tutti i passaggi teorici utili alla predisposizione e alla gestione di un’infrastruttura SIEM.
Il discente svolgerà pratica di configurazione di sonde, IPS e IDS per registrare e identificare le anomalie che si verificano a livello rete o applicazione.
Il Laboratorio simulerà situazioni specifiche quali quella legata al determinare quando un attacco DDoS / DoS sta manifestandosi o di organizzare la registrazione dei dati di scansione di una sonda al fine di identificare l'origine di un attacco informatico o di un’anomalia.

Le tematiche vengono affrontate in maniera teorica e pratica facendo particolare riferimento alle piattaforme più diffuse e ai Sistemi più ricorrenti in contesti Enterprise.

Max corsisti:   

Per garantire una adeguata fruizione dei contenuti del corso è prevista in aula una quantità massima di 10 discenti.

Programma didattico:    

L'attività didattica proposta consente di integrare i contenuti teorici con approfondite esperienze attraverso una serie articolata di attività di laboratorio realizzabili grazie alle infrastrutture da noi messe a disposizione.
Il corso porta inoltre il discente ad approfondire e integrare conoscenze e all’acquisizione di una metodologia di “problem solving.
In sintesi il programma didattico è riportato in Appendice 1

Testo di riferimento:   

Data la grande quantità di nozioni, informazioni e argomenti trattati non è possibile identificare un testo di riferimento univoco per le tematiche del corso. Si possono però citare alcuni contributi quali:

      o    Security Information and Event Management (SIEM) Implementation Book.
            Edito da McGraw-Hill Osborne Media (2010)
      o    Audit and Trace Log Management: Consolidation and Analysis.
            Edito da Auerbach Publications; 1 edition (April 5, 2006)



Appendice 1

Module 01 - Intro

  • Course Objectives
  • Virtualization Basics
  • Introduction to Virtual Environments

Module 1: Log Analysis

  • Reporting Security Information to Management
  • Blended Threats 
  • Reporting Log 
  • Reporting Strategies 
  • Open Source Solutions 
  • Commercial Solutions 
  • Comparison 
  • Suggested approach

Module 2: Network Threats

  • Network Threats
  • Understand Network Attack
  • Denial-of-service (DoS) Attacks
  • Distributed denial-of-service (DDoS) Attacks 
  • Back door Attacks 
  • Spoofing Attacks 
  • Man-in-the-Middle Attacks
  • Replay Attacks Password Guessing Attacks TCP/IP Attacks TCP SYN or TCP ACK Flood Attack TCP Sequence
  • Number Attack TCP/IP Hijacking ICMP Attacks Smurf Attacks

Module 3: IDS Reporting

  • Session Logging
  • Session/Flow Logging
  • Bandwidth Monitoring
  • Capture Application-Level Protocols
  • Tracking Users’ Web Activities
  • LAB: Can You Determine When a DDoS/DoS Attack Is Occurring?

Module 4: Security Log Management

  • Log Source
  • Log Management Function
  • Log type
  • Windows Log
  • Linux Log
  • Switch and Router log
  • Firewall log
  • IDS / IPS log
  • E-mail log
  • Web server log
  • Proxy logAnti-viruses log

Module 5: Log Analysis Tools

  • Analyze log with Splunk
  • Analyze log with Ntop
  • Analyze log with MS-Excel
  • Analyze log with Commercial Tools
  • LAB: Analyze Log from Scenario and create Incident report

Module 6: SIM SEM and SIEM

  • Understand SIM SEM and SIEM
  • Analyze Log with SIM
  • LAB: Install SIEM Open source tools

Module 7: Network Forensic and Security

  • Analyzer Placement
  • Switch Environment and SPAN port
  • Hub and Network Tapping Device
  • Routed Network
  • Capturing in Stealth Mode
  • Unususal Network Communications
  • Reconnaissance Processes
  • Analyzing ICMP Traffic
  • TCP Security
  • Address Spoofing
  • Building Firewall ACL Rules
  • Signatures of Attack
  • LAB: Analyze live streams of different types of attacks

Module 8: Network Evidence Extraction

  • Gather evidence from network devices
  • Generate Packet Dump Metadata
  • Create Network Event timeline
  • Network Addressing and OS Fingerprint
  • Extract Traffic Content(File Carving)
  • Reconstruct Web histories and cached Web content Tools Ngrep and TCPExtract Packetminer
  • LAB: Analyze Gather evidence from live streams and report the identified attack

Module 9: Network Forensic Tools

  • Network Forensic tools
  • Wireshark
  • Network Miner
  • CACE Pilot
  • Commercial Tools
  • LAB: Network Forensic from Scenario
Bookmark and Share