دانلود کتاب آموزشی Splunk Enterprise Security Certified Admin جلد اول

دوره Splunk Enterprise Security Certified Admin یکی از دوره‌های پیشرفته و تخصصی Splunk است که به مدیریت و پیکربندی Splunk Enterprise Security (ES) اختصاص دارد. این دوره برای افرادی طراحی شده که می‌خواهند از ES برای شناسایی، تجزیه‌وتحلیل، و پاسخ به تهدیدات امنیتی استفاده کنند. در زیر سر فصل‌های این دوره آورده شده است:

بخش 1. مقدمه‌ای بر Splunk Enterprise Security (ES)

فصل 1. آشنایی با Splunk Enterprise Security

• تعریف Splunk ES و نقش آن در محیط‌های امنیتی و SOC

• مقایسه Splunk Core و Splunk ES از نظر قابلیت‌ها و کاربردها

• مروری بر جریان کاری تحلیل تهدیدات در Splunk ES

فصل 2. معماری Splunk ES

• اجزای اصلی Splunk ES: Search Head، Indexer، Forwarder

• معماری منطقی و فیزیکی سیستم در محیط‌های تک‌نودی و توزیع‌شده

• بررسی لایه‌های Data Collection، Analysis و Visualization

فصل 3. اجزای داخلی Splunk ES

• آشنایی با Use Case Library و Content Packs

• ساختار داشبوردهای پیش‌ساخته (Out-of-the-box)

• تعریف Notable Events، Correlation Searches و Adaptive Response

• معرفی Data Models، KPIs و Risk Scoring

فصل 4. نیازمندی‌ها و پیش‌نیازهای نصب Splunk ES

• بررسی منابع سخت‌افزاری و الزامات لایسنس

• تفاوت ES Add-onها با Appهای عمومی Splunk

• بررسی سازگاری نسخه‌ها (Splunk Core با ES)

فصل 5. مراحل نصب و استقرار اولیه Splunk ES

• معرفی سناریوهای نصب: On-Premise، Cloud، Hybrid

• بررسی ساختار پیش‌فرض پس از نصب (Indexها، Roles، Alerts)

• نحوه فعال‌سازی محتوای پیش‌فرض و انجام Initial Configuration

فصل 6. نقش Splunk ES در عملیات امنیتی

• معرفی مدل‌های عملیاتی مبتنی بر Splunk ES (مثل SOC Maturity Model)

• نقش Splunk ES در تحلیل حملات پیشرفته و Zero-Day

• مزایای ES در مقایسه با SIEMهای سنتی

فصل 7. آشنایی با رابط کاربری و داشبوردها

• ساختار منوها و Navigation در Splunk ES

• بررسی محیط Incident Review و Risk Analysis

• نحوه کار با Threat Activity، Endpoint و Identity Dashboards

فصل 8. مفاهیم پایه امنیتی در ES

• تعریف Event، Alert، Notable Event و Incident

• آشنایی با Flow کلی از ورود داده تا تحلیل نهایی

• درک ساختار Fields، Tags و Data Enrichment در زمینه امنیتی

فصل 9. بررسی مدل داده مشترک (CIM)

• تعریف CIM و هدف از استفاده آن در Splunk ES

• ارتباط بین CIM و استانداردسازی داده‌ها

• نقش CIM در فعال‌سازی محتوا و Correlationها

فصل 10. اعتبارسنجی نصب و آماده‌سازی محیط

• بررسی ماژول‌های فعال‌شده

• چک‌لیست اولیه برای ارزیابی صحت نصب

• تست دستی Dashboards، Notable Events و Correlationها

بخش 2. مدیریت داده‌های امنیتی (Security Data Management)

فصل 1. آماده‌سازی محیط برای دریافت داده‌های امنیتی

• تعیین منابع داده‌های امنیتی (فایروال‌ها، آنتی‌ویروس، SIEMهای خارجی، سرورهای لاگ)

• انتخاب روش‌های ورود داده‌ها: TCP/UDP Inputs، Syslog، APIs، و Universal Forwarder

• بررسی تفاوت‌های فنی میان داده‌های real-time و batch-based

• بررسی ملاحظات مربوط به زمان‌بندی ورود داده‌ها

فصل 2. دسته‌بندی و سازمان‌دهی داده‌ها با استفاده از Sourcetype

• تعریف دقیق مفهوم Sourcetype در Splunk و اهمیت آن در تحلیل امنیتی

• شناسایی و تعیین Sourcetype مناسب برای هر منبع داده

• بررسی بهترین روش‌ها برای اختصاص Sourcetype در هنگام ورود

• نگاشت استاندارد داده‌ها با Sourcetypeهای تعریف‌شده در Add-ons رسمی

فصل 3. نگاشت و استانداردسازی داده‌ها با استفاده از CIM (Common Information Model)

• معرفی ساختار و مزایای استفاده از CIM در Splunk ES

• تعیین دسته‌های امنیتی در CIM (مانند Authentication، Malware، Network Traffic)

• بررسی الزامات هر مدل اطلاعاتی (Data Model) برای انطباق داده‌ها

• ارزیابی آمادگی داده‌ها برای تطبیق با CIM با استفاده از ابزار Data Model Audit

فصل 4. بررسی و بهینه‌سازی Field Extractionها

• تشریح نحوه شناسایی و استخراج فیلدهای امنیتی مرتبط

• استفاده از Field Aliases و Calculated Fields در مسیر استانداردسازی

• بررسی استفاده از Auto-Extracted Fields و تفاوت آن با دستی

• بررسی ارتباط فیلدها با گزارش‌ها و داشبوردهای امنیتی

فصل 5. ایندکس‌گذاری و مدیریت فضای ذخیره‌سازی داده‌های امنیتی

• طراحی ساختار Indexها بر اساس انواع داده‌ها و حساسیت اطلاعات

• تعیین سیاست‌های Retention برای داده‌های مختلف

• بررسی شاخص‌های مصرف منابع برای Indexهای امنیتی

• هماهنگی میان Indexها و Data Modelهای فعال در ES

فصل 6. استفاده از Add-ons برای داده‌های امنیتی

• معرفی نقش Add-ons در آماده‌سازی داده‌ها برای ES

• انتخاب Add-onهای رسمی از Splunkbase برای منابع متداول

• ارزیابی سازگاری Add-on با CIM و مدل‌های داده

• مدیریت به‌روزرسانی Add-ons در محیط عملیاتی

فصل 7. بررسی کیفیت داده‌های ورودی

• اجرای بررسی کیفیت داده‌ها از طریق Data Quality Dashboards

• شناسایی خطاهای Mapping، تکراری بودن داده‌ها یا فقدان فیلدها

• تحلیل تغییرات نامنظم در زمان‌بندی دریافت داده

• تعریف شاخص‌های SLA برای دریافت و پردازش داده‌های امنیتی

فصل 8. تنظیمات پیشرفته برای Data Input Management

• بررسی نحوه استفاده از Index-time و Search-time Parsing

• استفاده از Props و Transforms برای پردازش پیشرفته داده‌ها

• تفکیک داده‌های معتبر از منابع ناشناس یا بدون ساختار

• مانیتورینگ عملکرد کلی پردازش داده‌های امنیتی در محیط ES

فصل 9. هماهنگی با تیم‌های تولید و SOC برای مدیریت داده‌ها

• تعریف فرآیند تعامل میان تیم‌های Log Management، SIEM و SOC

• مستندسازی منابع داده، نگاشت‌ها و اهداف تحلیل

• تعریف وظایف مشترک در مدیریت و پشتیبانی داده‌های حساس

• استفاده از Runbook برای بررسی و اصلاح مشکلات داده‌ای

بخش 3. نظارت بر تهدیدات و پاسخ به حوادث (Incident Review and Threat Monitoring)

فصل 1. معرفی Incident Review در Splunk ES

• بررسی ساختار Incident Review و نقش آن در SOC

• نحوه نمایش Notable Events در داشبورد Incident Review

• تعریف فیلدهای کلیدی: status، urgency، owner، security domain

• اولویت‌بندی و طبقه‌بندی رویدادها

فصل 2. مدیریت Incidentها و جریان کار بررسی

• فرآیند Assign و Triage کردن Incidentها

• نقش‌ها و وظایف در بررسی Incident (Analyst, Manager, Tier 1/2)

• ایجاد گروه‌های بررسی‌کننده و اتصال آن‌ها به موارد مشخص

• استفاده از کامنت‌گذاری و مستندسازی برای هر Incident

فصل 3. پیکربندی Correlation Searchها برای ایجاد Notable Events

• معرفی مفهوم Correlation Search و ساختار آن

• اتصال خروجی Correlation Search به سیستم Incident Review

• تنظیم شرایط زمان‌بندی و تریگر کردن هشدارها

• استفاده از فیلترهای اولیه برای کاهش هشدارهای کاذب (False Positive Reduction)

فصل 4. استفاده از Risk Scoring برای ارزیابی دقیق‌تر تهدیدات

• تعریف مفهوم Risk Score و نحوه محاسبه آن

• ایجاد Ruleهای افزایش Risk بر اساس نوع رفتار یا Actor

• تنظیم Score Threshold برای هشدار دهی بهتر

• نمایش تجمیعی Risk در سطح User، Host، Application

فصل 5. داشبوردهای کلیدی برای پایش تهدیدات و تحلیل وضعیت

• بررسی داشبورد “Incident Review” برای مشاهده و تحلیل زنده حوادث

• استفاده از داشبورد “Security Posture” برای دید کلی وضعیت تهدیدات

• تحلیل رفتارهای شبکه در “Traffic Center” و “Protocol Intelligence”

• بررسی کاربران مشکوک در داشبورد “User Intelligence”

فصل 6. بهینه‌سازی گردش کار پاسخ به حوادث

• تعریف فرآیندهای Escalation و ارجاع به تیم‌های مرتبط

• هماهنگ‌سازی پاسخ دستی یا خودکار با ابزارهای امنیتی دیگر

• استفاده از وضعیت‌ها (New, In Progress, Closed, Resolved) برای پیگیری وضعیت Incident

• استفاده از فیلترهای پیشرفته برای دسته‌بندی، جستجو و استخراج الگوها

فصل 7. گزارش‌گیری، Audit و ارزیابی عملکرد تیم امنیتی

• تولید گزارش‌های Incident Summary برای مدیریت

• گزارش‌گیری از زمان پاسخ، زمان شناسایی و زمان حل

• ارزیابی کارایی تیم SOC از طریق تحلیل داده‌های Incident Review

• بررسی الگوهای رایج تهدیدها برای اصلاح سیاست‌ها و Ruleها

فصل 8. سناریوهای واقعی بررسی تهدید و Incident در محیط ES

• شناسایی رفتار غیرعادی لاگین کاربر با Rule تعریف‌شده

• تحلیل حمله Brute Force یا Exfiltration و ارجاع به تیم پاسخ

• ترکیب چند رویداد برای تحلیل APT یا حمله چند مرحله‌ای

• بررسی رفتار lateral movement و مرتبط‌سازی با وقایع قبلی

بخش 4. مدیریت محتوا و تنظیمات امنیتی (Content Management)

فصل 1. آشنایی با ساختار محتوای امنیتی در Splunk ES

• تفاوت بین Use Case، Notable Event، و Correlation Search

• ساختار ماژولار محتوای امنیتی و وابستگی‌ها

• تعامل بین داده، مدل‌ها، و هشدارها در چرخه محتوا

فصل 2. مدیریت Use Caseهای امنیتی

• مرور Use Case Library و قالب‌های از پیش‌ساخته

• فعال‌سازی و غیرفعال‌سازی Use Caseهای مرتبط با تهدیدات

• تحلیل پوشش‌دهی داده‌ها و تطابق Use Case با داده‌های جاری

• برچسب‌گذاری Use Caseها بر اساس سطح تهدید و حوزه امنیتی

فصل 3. طراحی، ایجاد و ویرایش Use Caseهای سفارشی

• اصول طراحی یک Use Case امنیتی هدف‌مند

• تنظیمات ساختاری: نام‌گذاری، اولویت، دسته‌بندی و پیام هشدار

• اتصال به Correlation Search، Adaptive Response و Risk Scoring

• مستندسازی Use Case برای تحلیلگرها و تیم SOC

فصل 4. مدیریت داشبوردها، Panels و نمایش محتوا

• ساخت داشبورد سفارشی برای هر حوزه امنیتی (مانند Access، Malware، Insider Threat)

• استفاده از Panels استاندارد و سفارشی برای مصورسازی بهتر داده‌ها

• تنظیمات بازبینی، اشتراک‌گذاری، و بهینه‌سازی نمایش محتوا

• طراحی نمای بصری تحلیلگر-محور برای پاسخ سریع به هشدارها

فصل 5. مدیریت و تنظیم Data Models

• بررسی ساختار Data Modelها و نحوه تطابق آنها با داده‌ها

• فعال‌سازی، غیرفعال‌سازی و اولویت‌بندی مدل‌های داده

• همگام‌سازی Use Caseها با Data Model مرتبط

• بررسی میزان پر شدن Summary Index و هشدار در صورت خطا

فصل 6. پیاده‌سازی و مدیریت Tags، Event Types و Lookups

• تعریف و استفاده از Event Typeهای امنیتی

• تعریف Tagها برای دسته‌بندی رویدادهای مشابه

• استفاده از Lookups برای غنی‌سازی Use Caseها و گزارش‌ها

• هماهنگی بین محتوا، Field Extraction و Output جستجو

فصل 7. مستندسازی و ارزیابی چرخه محتوای امنیتی

• ثبت کامل مشخصات هر Use Case در سیستم مستندات

• ارزیابی دوره‌ای عملکرد Use Caseها بر اساس داده و هشدار

• انجام ممیزی برای اطمینان از پیاده‌سازی درست محتوا

• تهیه گزارش چرخه عمر Use Caseها برای مدیریت یا تیم امنیت

فصل 8. هماهنگی محتوا با فرآیندهای SOC و پاسخ به حادثه

• اتصال مستقیم بین Use Case، هشدار و دستورالعمل پاسخ

• هم‌راستایی محتوا با Playbookهای Incident Response

• ایجاد Workflowهای هدفمند برای Incident Handling

• تعامل و ارتباط بین محتوا و تیم‌های Blue، Red و Purple

بخش 5. تحلیل پیشرفته تهدیدات و رویدادها

فصل 1. بررسی داشبوردهای تحلیلی امنیتی در Splunk ES

• معرفی و نحوه استفاده از داشبوردهای پیش‌ساخته امنیتی

• تحلیل داده‌ها در داشبورد Threat Activity

• تحلیل وقایع در داشبورد Endpoint Analysis

• بررسی ارتباط بین رویدادها از طریق Incident Review

فصل 2. استفاده از مدل‌های داده امنیتی برای تحلیل

• بررسی ساختار Data Modelهای امنیتی (Network_Traffic، Authentication، Malware)

• کاربرد tstats برای دسترسی سریع به داده‌های ساخت‌یافته

• فیلترسازی و Pivot بر مبنای پارامترهای امنیتی

فصل 3. تحلیل رفتار کاربران (User Behavior Analytics – UBA)

• بررسی اهداف UBA در کشف تهدیدات داخلی

• شناسایی فعالیت‌های غیرعادی کاربران و تغییر رفتارها

• ترکیب رویدادهای ورود، دسترسی به فایل‌ها و انتقال داده برای تشخیص رفتار مشکوک

فصل 4. شناسایی حرکات جانبی (Lateral Movement) و حملات privilege escalation

• تحلیل مسیر حرکت مهاجم در شبکه

• بررسی تلاش‌های متعدد برای دسترسی به منابع از دستگاه‌های مختلف

• شناسایی نشانه‌های استفاده از حساب‌های دارای دسترسی بالا

فصل 5. تحلیل ارتباطات شبکه‌ای مشکوک

• بررسی مقادیر پرت در پروتکل‌ها و پورت‌ها

• تحلیل ارتباطات خارجی به IPهای مشکوک یا نا‌معمول

• ترکیب رویدادهای فایروال، IDS/IPS، DNS و Proxy

فصل 6. استفاده از Threat Intelligence برای غنی‌سازی تحلیل‌ها

• بررسی همبستگی بین داده‌های داخلی و Indicators of Compromise (IOC)

• کشف آدرس‌های IP یا Domainهای مخرب در جریان داده‌ها

• تطبیق داده‌های Splunk با feeds خارجی مانند MISP، STIX یا VirusTotal

فصل 7. تحلیل بدافزار و رفتار فایل‌های مخرب

• شناسایی فایل‌های مشکوک در ترافیک یا لاگ‌ها

• بررسی هش فایل‌ها و مقایسه با پایگاه‌های داده تهدیدات

• تحلیل مراحل اجرای بدافزار و اثر آن بر سیستم‌ها

فصل 8. ترکیب تحلیل‌ها در قالب Use Caseهای سفارشی

• ساخت سناریوهای پیچیده برای تشخیص زنجیره حمله

• ترکیب داده‌های مختلف (مثلاً DNS + Proxy + AD Logs) در یک Use Case

• طراحی داشبوردهای شخصی‌سازی‌شده برای تحلیل حملات خاص (APT، ransomware، phishing و…)

فصل 9. مستندسازی یافته‌ها و تحلیل خروجی‌ها برای پاسخ به حوادث

• ثبت یافته‌های تحلیلی در قالب گزارش‌ها

• آماده‌سازی خروجی برای استفاده در جلسات Incident Response

• اولویت‌بندی تهدیدات برای رسیدگی فوری تیم‌های امنیتی

فصل 10. چالش‌های تحلیل تهدیدات و بهینه‌سازی تحلیل‌ها

• بررسی خطاهای رایج در تحلیل‌های اشتباه یا ناقص

• کاهش False Positiveها با استفاده از معیارهای contextual

• تنظیم پارامترها و فیلترها برای دقت بالاتر در تحلیل‌ها