Curso Implementando e Operando o Elastic SIEM para Deteccao e Resposta a Ameacas
24 horasVisão Geral
Este curso oferece uma imersão completa no Elastic SIEM, uma solução líder para gerenciamento de informações e eventos de segurança. Do ponto de vista técnico, os participantes aprenderão a arquitetar, implementar e operar um ambiente Elastic SIEM, cobrindo desde a coleta de dados de diversas fontes (logs, métricas, eventos de segurança) até a utilização de recursos avançados como regras de detecção baseadas no MITRE ATT&CK, Machine Learning para anomalias e funcionalidades de Threat Hunting e resposta a incidentes. Será abordado como o Elastic Stack (Elasticsearch, Kibana, Beats e Logstash) forma a base poderosa do SIEM, permitindo análise rápida e escalável de grandes volumes de dados de segurança. curso capacita os profissionais a fortalecerem a postura de segurança de suas organizações, identificando e mitigando ameaças cibernéticas de forma proativa. A implementação e operação eficaz do Elastic SIEM pode resultar em redução significativa do tempo de detecção e resposta a incidentes (MTTD/MTTR), minimizando o impacto de ataques. Isso se traduz em menores perdas financeiras, melhor reputação da marca e maior conformidade regulatória. Ao dominar o Elastic SIEM, os participantes se tornam ativos valiosos para qualquer equipe de segurança que busca otimizar suas operações de segurança.
Objetivo
Após realizar este Implementando e Operando o Elastic SIEM para Detecção e Resposta a Ameaças, você será capaz de:
- Compreender os fundamentos de um SIEM e o papel do Elastic SIEM no ecossistema de segurança.
- Arquitetar e instalar um ambiente Elastic Stack otimizado para SIEM.
- Coletar, normalizar e indexar dados de segurança de diversas fontes usando Beats e Logstash.
- Utilizar o aplicativo SIEM no Kibana para visualizar e investigar eventos de segurança.
- Criar e gerenciar regras de detecção personalizadas e baseadas em MITRE ATT&CK.
- Aplicar recursos de Machine Learning para detecção de anomalias e comportamento suspeito.
- Realizar atividades de Threat Hunting proativo utilizando o NRQL e as ferramentas do Kibana.
- Gerenciar alertas e colaborar na investigação de incidentes de segurança.
- Entender as capacidades de segurança de endpoint (Elastic Agent/EDR) e sua integração com o SIEM.
- Otimizar a performance e a escalabilidade do seu ambiente Elastic SIEM.
Publico Alvo
- Analistas de Segurança (SOC): Que desejam utilizar o Elastic SIEM para monitoramento, detecção e investigação de ameaças.
- Engenheiros de Segurança: Responsáveis pela arquitetura, implementação e manutenção de soluções SIEM.
- Engenheiros de DevOps e SREs: Que precisam integrar práticas de segurança e monitoramento de logs em suas pipelines e ambientes.
- Administradores de Sistemas e Rede: Interessados em melhorar a visibilidade de segurança de sua infraestrutura.
- Profissionais de TI: Que buscam aprimorar suas habilidades em segurança cibernética e observabilidade.
Pre-Requisitos
- Conhecimento básico de sistemas operacionais (Linux/Windows), redes e conceitos de segurança cibernética.
- Familiaridade com linhas de comando (CLI).
- Noções básicas de Docker e virtualização são um plus.
- Conhecimento prévio do Elastic Stack (Elasticsearch, Kibana) é útil, mas não obrigatório, pois será revisado.
Materiais
Inglês/Português/Lab PráticoConteúdo Programatico
Módulo I: Fundamentos do Elastic SIEM e Arquitetura (6 horas)
- 1.1. Introdução aos SIEMs e o Contexto da Segurança Moderna (1.5h)
- O que é um SIEM e por que é essencial para a segurança cibernética.
- Desafios atuais em segurança e a necessidade de observabilidade de segurança.
- O papel do Elastic SIEM na detecção, investigação e resposta a ameaças.
- Visão geral do Elastic Security e seus pilares (SIEM, EDR, Cloud Security).
- 1.2. Visão Geral do Elastic Stack para SIEM (2.5h)
- Elasticsearch: o coração do SIEM (armazenamento, busca, análise distribuída).
- Kibana: a interface de análise e visualização de segurança.
- Beats: agentes leves para coleta de dados (Filebeat, Winlogbeat, Auditbeat, Packetbeat).
- Logstash: pipeline de processamento e transformação de logs (uso e casos de uso no SIEM).
- Prática: Instalação e configuração básica de um Elastic Stack de laboratório.
- 1.3. Arquitetura e Modelagem de Dados para Segurança (2h)
- Modelagem de dados: ECS (Elastic Common Schema) e sua importância para o SIEM.
- Planejamento de capacidade e escalabilidade para ambientes SIEM.
- Componentes do Elastic SIEM: Visão geral da interface do Kibana SIEM.
- Prática: Entendendo e aplicando o ECS em dados simulados.
Módulo II: Coleta e Normalização de Dados de Segurança (6 horas)
- 2.1. Coleta de Logs de Sistemas Operacionais e Aplicações (2h)
- Configurando Filebeat para coletar logs de Linux (syslog, auth.log).
- Configurando Winlogbeat para coletar logs de eventos do Windows (Security, System, Application).
- Coleta de logs de aplicações via Filebeat.
- Prática: Configurar Filebeat e Winlogbeat e visualizar dados no Kibana.
- 2.2. Monitoramento de Rede e Auditoria com Beats (2h)
- Packetbeat: Visibilidade de tráfego de rede (DNS, HTTP, TLS, etc.).
- Auditbeat: Auditoria de atividade do sistema (processos, arquivos, usuários).
- Prática: Configurar Packetbeat e Auditbeat para monitoramento básico.
- 2.3. Ingestão e Enriquecimento de Dados com Logstash (2h)
- Uso do Logstash para parser de logs complexos e normalização para ECS.
- Enriquecimento de dados: Geolocation, lookup de IPs/nomes, etc.
- Prática: Criar um pipeline Logstash para transformar e enriquecer logs.
Módulo III: Detecção Avançada de Ameaças com Elastic SIEM (6 horas)
- 3.1. Visão Geral e Navegação no Aplicativo SIEM (2h)
- Explorando as páginas de Hosts, Network, Detections, Alerts e Timelines.
- Uso do KQL (Kibana Query Language) e NRQL (New Relic Query Language - Correção: NRQL é New Relic Query Language. Para Elastic é KQL e EQL - Elastic Query Language) para busca e filtragem.
- Prática: Navegar na interface do SIEM e realizar buscas básicas.
- 3.2. Regras de Detecção e MITRE ATT&CK (2h)
- Criando regras de detecção customizadas (threshold, event correlation, rule chaining).
- Utilizando as regras pré-construídas do Elastic e mapeamento para MITRE ATT&CK.
- Gerenciamento de falsos positivos e otimização de regras.
- Prática: Implementar e testar regras de detecção para cenários de ataque comuns.
- 3.3. Machine Learning para Detecção de Anomalias (2h)
- Introdução ao Machine Learning no Elastic Stack para segurança.
- Configurando trabalhos de ML para detecção de anomalias (e.g., picos de login falhos, tráfego de rede incomum).
- Interpretação de resultados de ML e sua aplicação na detecção de ameaças.
- Prática: Configurar um trabalho de ML para detectar comportamento anômalo.
Módulo IV: Investigação, Resposta e Operações de Segurança (6 horas)
- 4.1. Investigação de Incidentes com Timelines e Cases (2h)
- Construindo linhas do tempo (Timelines) para correlacionar eventos de ataque.
- Utilizando o recurso de Cases para gerenciamento e colaboração em investigações.
- Técnicas de análise de logs e eventos para causa raiz.
- Prática: Investigar um incidente simulado usando Timelines e Cases.
- 4.2. Threat Hunting Proativo com o Elastic SIEM (2h)
- Estratégias e metodologias de Threat Hunting.
- Utilizando o Elastic SIEM para buscar por IoCs e TTPs (Táticas, Técnicas e Procedimentos).
- Uso da Elastic Query Language (EQL) para queries avançadas e correlação de eventos.
- Prática: Realizar uma sessão de Threat Hunting em dados de segurança.
- 4.3. Elastic Agent, Segurança de Endpoint e Operações (2h)
- Visão geral do Elastic Agent e capacidades de EDR (Endpoint Detection and Response).
- Integração do Elastic Agent com o SIEM para proteção de endpoint.
- Automação e Resposta (SOAR) no contexto do Elastic SIEM (integrações com ferramentas externas).
- Melhores práticas de operação, manutenção e otimização do Elastic SIEM.