021-66416682
info@faraznetwork.ir
ورود | ثبت‌نام
٪80 تخفیف
دانلود کتاب آموزشی ابزارهای SIEM جلد اول

دانلود کتاب آموزشی ابزارهای SIEM جلد اول

دسته‌بندی: برچسب: تاریخ به روز رسانی: 6 دی 1404 تعداد بازدید: 446 بازدید
ویژگی های محصول: پشتیبانی واتساپ

قیمت اصلی: ۲,۰۰۰,۰۰۰ تومان بود.قیمت فعلی: ۴۰۰,۰۰۰ تومان.

torobpay
هر قسط با ترب‌پی: ۱۰۰,۰۰۰ تومان
۴ قسط ماهانه. بدون سود، چک و ضامن.

سیستم‌های مدیریت اطلاعات و رخدادهای امنیتی (SIEM – Security Information and Event Management) یکی از مهم‌ترین ابزارهای امنیت سایبری هستند که برای جمع‌آوری، تحلیل و مدیریت لاگ‌های امنیتی استفاده می‌شوند. این دوره به بررسی معماری SIEM، پیکربندی، تحلیل داده‌های امنیتی و استفاده از ابزارهای رایج مانند Splunk, IBM QRadar, ArcSight, Elastic SIEM و Microsoft Sentinel می‌پردازد.

بخش 1. مفاهیم و معماری SIEM

 

فصل 1. تعریف SIEM و نقش آن در امنیت سایبری

  • تعریف دقیق SIEM (Security Information and Event Management)

  • هدف اصلی: جمع‌آوری، نرمال‌سازی، همبستگی، هشداردهی، گزارش‌گیری

  • اهمیت SIEM در چرخه دفاع سایبری و عملیات SOC

  • جایگاه SIEM در چارچوب‌های امنیتی مانند NIST, MITRE ATT&CK, ISO 27001

فصل 2. تفاوت SIEM با سایر راهکارهای امنیتی

  • SIEM vs SOAR (Security Orchestration, Automation and Response)

    • نقش SIEM در تشخیص، نقش SOAR در واکنش خودکار

  • SIEM vs IDS/IPS (Intrusion Detection/Prevention System)

    • SIEM به عنوان Aggregator و Analyzer لاگ‌ها از منابع مختلف

  • SIEM vs EDR/XDR (Endpoint/Extended Detection and Response)

    • تمرکز SIEM بر لاگ و رفتار، تمرکز EDR بر نقاط پایانی

  • مقایسه جدول‌بندی‌شده کاربردها، مزایا، و محدودیت‌ها

فصل 3. اجزای اصلی یک سیستم SIEM

  • Log Collection: جمع‌آوری داده‌ها از منابع مختلف (سیستم‌ها، فایروال، IDS، برنامه‌ها)

  • Log Parsing: تبدیل لاگ خام به ساختار قابل پردازش

  • Normalization: استانداردسازی فرمت لاگ‌ها

  • Correlation Engine: بررسی الگوها و ایجاد هشدار براساس قواعد تعریف‌شده

  • Alerting: ارسال هشدارهای Real-Time به تیم امنیتی

  • Dashboards & Reporting: نمایش بصری اطلاعات و تولید گزارش

  • Retention & Archiving: نگهداری داده‌ها برای ممیزی و بررسی‌های بعدی

فصل 4. معماری‌های رایج SIEM

  • معماری Monolithic (یکپارچه)

    • تمام اجزا در یک محیط مجتمع

    • مناسب برای سازمان‌های کوچک با داده محدود

  • معماری توزیع‌شده (Distributed Architecture)

    • اجزای جداگانه مانند Collector، Processor، Storage، Search

    • افزایش مقیاس‌پذیری و پایداری

  • معماری Cloud-Based SIEM vs On-Premise SIEM

    • مزایا و معایب هرکدام

    • بررسی ابزارهایی مانند Azure Sentinel (Cloud) vs QRadar (On-Prem)

    • مدل‌های Hybrid Deployment

فصل 5. اجزای فنی در معماری SIEM

  • Data Sources:

    • سیستم‌عامل‌ها (Linux, Windows)

    • تجهیزات شبکه (Firewalls, Routers, Switches)

    • ابزارهای امنیتی (EDR, IDS/IPS)

    • برنامه‌های کاربردی (Web Servers, DBs, Cloud Services)

  • Collectors / Agents:

    • Syslog Agents، Beats، Forwarders، Connectors

    • تفاوت بین Agent-Based و Agentless Collection

  • Processing Layer:

    • Parsing، Filtering، Enrichment

    • استفاده از Threat Intelligence Feeds

  • Storage Layer:

    • استفاده از Database / Indexing (مثلاً Elasticsearch یا QRadar Ariel DB)

    • تعیین دوره نگهداری (Retention Policy)

  • Visualization Layer:

    • پنل مدیریت مرکزی، داشبوردهای Real-Time و Historical

فصل 6. اصطلاحات کلیدی در معماری SIEM

  • Event vs Alert vs Incident

  • Raw Logs vs Parsed Events

  • Correlation Rule: قواعد تعریف‌شده برای شناسایی تهدید

  • Use Case: الگوهای حمله یا سناریوهای تحلیل تعریف‌شده

  • Normalization: یکنواخت‌سازی فرمت داده‌ها

  • Enrichment: غنی‌سازی داده‌ها با اطلاعات Threat Intelligence

  • Retention Time: مدت‌زمان نگهداری لاگ‌ها

  • False Positive / False Negative: اشتباهات در تحلیل و شناسایی

فصل 7. SIEM در چرخه دفاع سایبری (Security Lifecycle)

  • جمع‌آوری داده‌ها (Data Collection)

  • شناسایی تهدید (Threat Detection)

  • پاسخ به رخداد (Incident Response)

  • تحلیل پس‌رویدادی (Post-Incident Analysis)

  • تطابق با مقررات (Compliance Reporting)

بخش 2. راه‌اندازی و پیکربندی ابزارهای SIEM

 

فصل 1. Splunk

  • نصب و راه‌اندازی Splunk

    • نصب Splunk Enterprise روی Linux و Windows

    • راه‌اندازی اولیه Web Interface و تنظیمات Licensing

  • معرفی معماری Splunk:

    • Indexer، Search Head، Forwarder

    • تفاوت Heavy Forwarder و Universal Forwarder

  • دریافت داده‌ها:

    • نصب Universal Forwarder روی کلاینت‌ها

    • پیکربندی inputs.conf و outputs.conf

    • دریافت لاگ‌ها از Windows Event Log، syslog، Firewallها

  • تعریف Index و Source Type:

    • ایجاد Index جدید در UI و CLI

    • تنظیم sourcetype برای داده‌های خاص

  • تنظیمات Parsing و Normalization داده‌ها:

    • استفاده از props.conf و transforms.conf

    • فیلتر کردن داده‌های ناخواسته

  • تعریف جستجوها با SPL (Splunk Processing Language)

    • مثال از Queryهای پایه و پیشرفته

    • استفاده از stats، timechart، eval و regex

  • ساخت Dashboard و گزارش

    • ایجاد داشبورد با چندین Panel

    • زمان‌بندی گزارش‌ها برای ارسال ایمیلی

فصل 2. IBM QRadar

  • نصب IBM QRadar در محیط مجازی یا Bare-metal

  • معرفی معماری:

    • Console، Event Collector، Event Processor، Flow Processor

  • اتصال منابع داده:

    • اضافه کردن Log Sources (Windows, Linux, Cisco, Palo Alto)

    • استفاده از DSM Editor برای تطبیق لاگ‌ها

  • تعریف Flow Sources و NetFlow

  • ساخت Rules و Use Cases:

    • تعریف Custom Rules با Rule Wizard

    • استفاده از Building Blocks

  • بررسی Offense و Alertها

    • نحوه کارکرد موتور همبستگی QRadar

    • تحلیل جزئیات یک Offense

  • ایجاد گزارش مدیریتی

    • تعریف گزارش زمان‌بندی شده PDF/CSV

    • استفاده از AQL در گزارشات پیشرفته

فصل 3. ArcSight (Micro Focus)

  • نصب ArcSight ESM و Logger

  • راه‌اندازی SmartConnector:

    • نصب روی سرورهای مختلف برای Windows Event، syslog، فایل متنی

    • پیکربندی Connector به ESM یا Logger

  • معرفی FlexConnector برای داده‌های خاص

  • تعریف قوانین همبستگی:

    • استفاده از Rule Editor برای تعریف شرایط پیچیده

    • ایجاد Active List و Session List

  • استفاده از ArcSight Console:

    • ساخت Active Channel برای مانیتورینگ لحظه‌ای

    • فیلتر و جستجو در Eventها با Query Viewer

  • ساخت داشبورد:

    • استفاده از Data Monitor و Graph

    • نمایش حملات، منابع مشکوک، کاربران غیرعادی

فصل 4. Elastic SIEM (ELK Stack)

  • نصب و پیکربندی Elasticsearch، Logstash، Kibana

    • نصب روی Debian/Ubuntu و Docker-based

    • تنظیمات اولیه Logstash Pipeline

  • دریافت داده از Beats:

    • نصب Filebeat و Winlogbeat روی کلاینت‌ها

    • ارسال داده به Logstash و Elasticsearch

  • تعریف الگوهای Parsing و Index Pattern در Kibana

  • فعال‌سازی ماژول SIEM در Kibana

  • تعریف Detection Rules:

    • استفاده از Prebuilt Rules در Elastic Security

    • تعریف Custom Detection Rules با KQL و EQL

  • ساخت Visual Dashboard:

    • نمایش آمار Login، SSH Attempt، حملات Brute Force

    • تحلیل داده‌های CloudTrail یا Azure Logs

فصل 5. Microsoft Sentinel

  • فعال‌سازی Microsoft Sentinel در Azure

  • اتصال منابع داده با Data Connectors:

    • Microsoft 365 Defender، Azure AD، Firewalls، AWS CloudTrail

  • ایجاد Workspace و Log Analytics:

    • تنظیم Workspace برای جمع‌آوری داده

    • بررسی Schemaها و Tables در Log Analytics

  • تحلیل با KQL (Kusto Query Language):

    • ساخت Queryهای پایه (SigninLogs, SecurityEvent)

    • استفاده از join، summarize، parse برای تحلیل دقیق

  • تعریف Analytics Rules:

    • استفاده از Rule Templates و Custom Ruleها

    • ارسال هشدار به Mail یا ایجاد Incident در SOAR

  • ساخت Workbookها:

    • طراحی داشبوردهای گرافیکی با نقشه، گراف، جدول

    • نمایش روند حملات یا فعالیت‌های مشکوک

بخش 3. جمع‌آوری و مدیریت لاگ‌ها در SIEM

 

فصل 1. اصول و مفاهیم پایه در جمع‌آوری لاگ‌ها

  • تعریف لاگ امنیتی و اهمیت آن در تحلیل تهدیدات

  • تفاوت Event، Log، Alert و Flow

  • انواع لاگ‌های امنیتی (System Logs، Application Logs، Security Logs، Network Logs)

  • معرفی فرمت‌های استاندارد لاگ‌ها:

    • Syslog (RFC 5424)

    • JSON, CEF (Common Event Format), LEEF (Log Event Extended Format), XML

  • سیاست‌های نگهداری لاگ‌ها (Retention Policies)

فصل 2. جمع‌آوری لاگ از منابع سیستم‌عامل

  • Windows:

    • تنظیم Windows Event Forwarding (WEF)

    • استفاده از Sysmon برای مانیتورینگ دقیق‌تر

    • جمع‌آوری Security, Application, System Logs

  • Linux/Unix:

    • استفاده از rsyslog, syslog-ng یا journald

    • ارسال لاگ از طریق TCP/UDP به SIEM

    • لاگ‌های authentication (auth.log)، audit (auditd)، command history

فصل 3. جمع‌آوری لاگ از تجهیزات شبکه و امنیتی

  • Firewall ها (Cisco ASA, Palo Alto, FortiGate):

    • فعال‌سازی Syslog و ارسال به SIEM

    • تحلیل لاگ‌های ترافیکی، rule matches، drops

  • IDS/IPS (Suricata, Snort, Zeek):

    • ارسال alertها و eventهای امنیتی به SIEM

    • ادغام با EVE JSON و Filebeat

  • Load Balancer, Proxy, VPN:

    • دریافت لاگ‌های دسترسی و connection events

    • پشتیبانی از فرمت‌های W3C, Apache/Nginx Access Logs

فصل 4. جمع‌آوری لاگ از سرویس‌های ابری و SaaS

  • جمع‌آوری لاگ از AWS:

    • CloudTrail, GuardDuty, VPC Flow Logs, S3 Access Logs

    • استفاده از Kinesis یا S3 Bucket Integration

  • جمع‌آوری لاگ از Microsoft 365 / Azure:

    • Microsoft Defender Logs

    • Office 365 Audit Logs

    • Azure Activity Logs با استفاده از Log Analytics

  • جمع‌آوری لاگ از Google Cloud Platform:

    • GCP Cloud Audit Logs، VPC Flow Logs

    • ادغام با Pub/Sub و Cloud Functions برای انتقال به SIEM

فصل 5. ابزارهای انتقال و ارسال لاگ‌ها به SIEM

  • Syslog Server: راه‌اندازی Syslog Receiver در SIEM

  • Filebeat / Winlogbeat / Auditbeat / Packetbeat (Elastic Beats)

    • پیکربندی برای ارسال به Logstash یا SIEM مقصد

  • Splunk Universal Forwarder

  • ArcSight SmartConnectors و FlexConnectors

  • IBM QRadar Log Source Protocols (Syslog, JDBC, API Pull, etc.)

فصل 6. نرمال‌سازی (Normalization) و طبقه‌بندی داده‌ها

  • تعریف نرمال‌سازی لاگ‌ها و دلایل آن

  • تبدیل لاگ‌های خام به فرمت‌های ساختاریافته

  • تشخیص نوع لاگ بر اساس Source Type یا Log Parser

  • کاربرد Mapping در لاگ‌ها (مانند mapping IP > Country، User > Department)

  • ابزارها و ماژول‌های مربوط به نرمال‌سازی در SIEMها:

    • Data Models در Splunk

    • DSM در IBM QRadar

    • ECS در Elastic Common Schema

فصل 7. فیلترسازی، فشرده‌سازی و مدیریت حجم لاگ‌ها

  • فیلتر کردن لاگ‌های غیرضروری برای کاهش نویز

  • تکنیک‌های ذخیره‌سازی و فشرده‌سازی لاگ‌ها

  • تعریف ذخیره‌سازی لایه‌ای (Hot, Warm, Cold, Frozen در Splunk)

  • تنظیم Log Rotation در سیستم‌عامل‌ها و سرورها

  • بررسی Policyهای Legal Compliance برای نگهداری داده‌ها

فصل 8. پایش کیفیت و سلامت لاگ‌ها (Log Quality Monitoring)

  • بررسی Delay، Drop و Corruption در لاگ‌های ورودی

  • ابزارهای تست لاگ (Log Simulator, TCPdump, Netcat)

  • ایجاد Health Monitoring برای Forwarderها

  • ایجاد Alert در صورت عدم دریافت لاگ از منابع خاص

فصل 9. مدیریت لاگ‌های مربوط به امنیت برنامه‌ها و DevOps

  • جمع‌آوری لاگ از وب‌سرورها و API‌ها (Nginx، Apache، IIS)

  • بررسی لاگ‌های برنامه‌های نوشته‌شده با Node.js, Java, Python

  • استفاده از Structured Logging در برنامه‌ها

  • ارسال لاگ از محیط‌های Docker و Kubernetes (با Fluentd, Filebeat, یا DaemonSet)

  • یکپارچه‌سازی CI/CD Pipelines با SIEM

بخش 4. تحلیل داده‌ها و همبستگی رخدادها (Correlation & Threat Detection)

 

فصل 1. مفاهیم پایه تحلیل و همبستگی در SIEM

  • تعریف همبستگی (Correlation) در تحلیل‌های امنیتی

  • تفاوت Event-Based Detection و Behavior-Based Detection

  • تحلیل آماری لاگ‌ها و الگوهای غیرعادی (Anomaly Detection)

  • اهمیت Context در تحلیل (Who, What, Where, When, Why)

  • انواع داده‌ها: Raw Events، Normalized Events و Enriched Events

فصل 2. طراحی و تعریف قوانین همبستگی (Correlation Rules)

  • اجزای یک قانون همبستگی (Condition, Threshold, Time Window)

  • روش‌های ترکیب چند لاگ برای ساخت یک Use Case

  • Rule Chaining و Sequence-Based Detection

  • تعریف قوانین بر اساس سطح خطر (Critical, High, Medium, Low)

  • مثال از قانون ساده:

    • 5 بار تلاش ورود ناموفق از یک IP در کمتر از 2 دقیقه

  • تعریف قوانین پیچیده:

    • لاگ موفق ورود بعد از ورود ناموفق از کشور مشکوک + استفاده از فرآیند ناشناس

فصل 3. شناسایی تهدیدات متداول با SIEM

  • تحلیل حملات Brute Force:

    • لاگ‌های تلاش ناموفق ورود، تحلیل روی چند سیستم، و تطابق با موفقیت بعدی

  • تحلیل Insider Threat:

    • دسترسی خارج از ساعات کاری

    • دسترسی غیرمجاز به فایل‌های حساس یا منابع مالی

  • Ransomware Detection:

    • تغییر سریع در تعداد زیاد فایل‌ها + اجرای فایل‌های ناشناخته

    • استفاده ترکیبی از EDR و لاگ‌های سیستم‌عامل

  • Credential Theft & Phishing Detection:

    • ورود از موقعیت جغرافیایی مشکوک

    • تحلیل URLهای مشکوک یا ایمیل‌های حاوی لینک‌های آلوده

  • Command & Control Detection:

    • برقراری ارتباط با دامنه‌های ناشناخته

    • استفاده از DNS Tunneling، TOR یا Proxyهای مشکوک

فصل 4. تحلیل توالی حملات (Kill Chain & MITRE ATT&CK)

  • نگاشت رویدادها به مراحل Cyber Kill Chain (Reconnaissance، Exploitation، Exfiltration و…)

  • ساخت Use Case براساس TTPهای MITRE ATT&CK

  • تحلیل رفتار مهاجم از اولین فعالیت تا استخراج اطلاعات

  • استفاده از SIEM برای شناسایی حرکات جانبی (Lateral Movement)

فصل 5. استفاده از Queryهای تحلیلی در ابزارهای SIEM

  • Splunk SPL:

    • تعریف زمان‌بندی، آماری‌سازی و فیلترهای چندمرحله‌ای

    • مثال: تشخیص اجرای PowerShell غیرمعمول توسط کاربران عادی

  • Kusto Query Language (KQL) در Microsoft Sentinel:

    • Query برای تشخیص نقض سیاست‌های MFA

    • Join بین Tables برای تحلیل ترکیبی

  • Elastic EQL & Kibana:

    • تعریف Correlated Events در Elastic SIEM

    • پیاده‌سازی Event Sequencing

  • QRadar AQL:

    • نوشتن Query برای مقایسه Source IP بین رویدادهای مختلف

    • استفاده از Flow Data برای تحلیل حرکات شبکه‌ای

فصل 6. بهره‌گیری از Machine Learning در تحلیل داده‌ها

  • استفاده از مدل‌های Behavior Analytics برای شناسایی رفتار غیرعادی

  • ایجاد مدل‌های سفارشی در Splunk (Machine Learning Toolkit)

  • استفاده از UEBA (User & Entity Behavior Analytics) در SIEMها

  • ترکیب الگوریتم‌های ML با قوانین سنتی (Hybrid Detection)

  • کاهش آلارم‌های کاذب (False Positives) با Clustering و Scoring

فصل 7. بررسی Use Caseهای واقعی از همبستگی موفق

  • نمونه عملی از تشخیص حمله داخلی با دسترسی به فایل‌های مالی

  • تحلیل زنجیره حمله در حملات باج‌افزاری واقعی

  • ساخت سناریوی تشخیص نفوذ از طریق Logon از چند کشور

  • بررسی Use Case ادغام SIEM با Threat Intelligence Feeds

نوع دوره

کلاس آنلاین
نام استاد

مهندس فرشاد علیزاده
برند

نقد و بررسی ها

نقد و بررسی وجود ندارد.

فقط مشتریانی که وارد سیستم شده اند و این محصول را خریداری کرده اند می توانند نظر بدهند.

تمامی حقوق برای سایت فراز نتورک محفوظ است.
سبد خرید

سبد خرید شما خالی است.

ورود به سایت