Curso Implementando e Operando o Elastic SIEM para Deteccao e Resposta a Ameacas

  • DevOps | CI | CD | Kubernetes | Web3

Curso Implementando e Operando o Elastic SIEM para Deteccao e Resposta a Ameacas

24 horas
Visão Geral

Este curso oferece uma imersão completa no Elastic SIEM, uma solução líder para gerenciamento de informações e eventos de segurança. Do ponto de vista técnico, os participantes aprenderão a arquitetar, implementar e operar um ambiente Elastic SIEM, cobrindo desde a coleta de dados de diversas fontes (logs, métricas, eventos de segurança) até a utilização de recursos avançados como regras de detecção baseadas no MITRE ATT&CK, Machine Learning para anomalias e funcionalidades de Threat Hunting e resposta a incidentes. Será abordado como o Elastic Stack (Elasticsearch, Kibana, Beats e Logstash) forma a base poderosa do SIEM, permitindo análise rápida e escalável de grandes volumes de dados de segurança. curso capacita os profissionais a fortalecerem a postura de segurança de suas organizações, identificando e mitigando ameaças cibernéticas de forma proativa. A implementação e operação eficaz do Elastic SIEM pode resultar em redução significativa do tempo de detecção e resposta a incidentes (MTTD/MTTR), minimizando o impacto de ataques. Isso se traduz em menores perdas financeiras, melhor reputação da marca e maior conformidade regulatória. Ao dominar o Elastic SIEM, os participantes se tornam ativos valiosos para qualquer equipe de segurança que busca otimizar suas operações de segurança.

Objetivo

Após realizar este Implementando e Operando o Elastic SIEM para Detecção e Resposta a Ameaças, você será capaz de:

  • Compreender os fundamentos de um SIEM e o papel do Elastic SIEM no ecossistema de segurança.
  • Arquitetar e instalar um ambiente Elastic Stack otimizado para SIEM.
  • Coletar, normalizar e indexar dados de segurança de diversas fontes usando Beats e Logstash.
  • Utilizar o aplicativo SIEM no Kibana para visualizar e investigar eventos de segurança.
  • Criar e gerenciar regras de detecção personalizadas e baseadas em MITRE ATT&CK.
  • Aplicar recursos de Machine Learning para detecção de anomalias e comportamento suspeito.
  • Realizar atividades de Threat Hunting proativo utilizando o NRQL e as ferramentas do Kibana.
  • Gerenciar alertas e colaborar na investigação de incidentes de segurança.
  • Entender as capacidades de segurança de endpoint (Elastic Agent/EDR) e sua integração com o SIEM.
  • Otimizar a performance e a escalabilidade do seu ambiente Elastic SIEM.
Publico Alvo
  • Analistas de Segurança (SOC): Que desejam utilizar o Elastic SIEM para monitoramento, detecção e investigação de ameaças.
  • Engenheiros de Segurança: Responsáveis pela arquitetura, implementação e manutenção de soluções SIEM.
  • Engenheiros de DevOps e SREs: Que precisam integrar práticas de segurança e monitoramento de logs em suas pipelines e ambientes.
  • Administradores de Sistemas e Rede: Interessados em melhorar a visibilidade de segurança de sua infraestrutura.
  • Profissionais de TI: Que buscam aprimorar suas habilidades em segurança cibernética e observabilidade.
Pre-Requisitos
  • Conhecimento básico de sistemas operacionais (Linux/Windows), redes e conceitos de segurança cibernética.
  • Familiaridade com linhas de comando (CLI).
  • Noções básicas de Docker e virtualização são um plus.
  • Conhecimento prévio do Elastic Stack (Elasticsearch, Kibana) é útil, mas não obrigatório, pois será revisado.
Materiais
Inglês/Português/Lab Prático
Conteúdo Programatico

Módulo I: Fundamentos do Elastic SIEM e Arquitetura (6 horas)

  • 1.1. Introdução aos SIEMs e o Contexto da Segurança Moderna (1.5h)
    • O que é um SIEM e por que é essencial para a segurança cibernética.
    • Desafios atuais em segurança e a necessidade de observabilidade de segurança.
    • O papel do Elastic SIEM na detecção, investigação e resposta a ameaças.
    • Visão geral do Elastic Security e seus pilares (SIEM, EDR, Cloud Security).
  • 1.2. Visão Geral do Elastic Stack para SIEM (2.5h)
    • Elasticsearch: o coração do SIEM (armazenamento, busca, análise distribuída).
    • Kibana: a interface de análise e visualização de segurança.
    • Beats: agentes leves para coleta de dados (Filebeat, Winlogbeat, Auditbeat, Packetbeat).
    • Logstash: pipeline de processamento e transformação de logs (uso e casos de uso no SIEM).
    • Prática: Instalação e configuração básica de um Elastic Stack de laboratório.
  • 1.3. Arquitetura e Modelagem de Dados para Segurança (2h)
    • Modelagem de dados: ECS (Elastic Common Schema) e sua importância para o SIEM.
    • Planejamento de capacidade e escalabilidade para ambientes SIEM.
    • Componentes do Elastic SIEM: Visão geral da interface do Kibana SIEM.
    • Prática: Entendendo e aplicando o ECS em dados simulados.

Módulo II: Coleta e Normalização de Dados de Segurança (6 horas)

  • 2.1. Coleta de Logs de Sistemas Operacionais e Aplicações (2h)
    • Configurando Filebeat para coletar logs de Linux (syslog, auth.log).
    • Configurando Winlogbeat para coletar logs de eventos do Windows (Security, System, Application).
    • Coleta de logs de aplicações via Filebeat.
    • Prática: Configurar Filebeat e Winlogbeat e visualizar dados no Kibana.
  • 2.2. Monitoramento de Rede e Auditoria com Beats (2h)
    • Packetbeat: Visibilidade de tráfego de rede (DNS, HTTP, TLS, etc.).
    • Auditbeat: Auditoria de atividade do sistema (processos, arquivos, usuários).
    • Prática: Configurar Packetbeat e Auditbeat para monitoramento básico.
  • 2.3. Ingestão e Enriquecimento de Dados com Logstash (2h)
    • Uso do Logstash para parser de logs complexos e normalização para ECS.
    • Enriquecimento de dados: Geolocation, lookup de IPs/nomes, etc.
    • Prática: Criar um pipeline Logstash para transformar e enriquecer logs.

Módulo III: Detecção Avançada de Ameaças com Elastic SIEM (6 horas)

  • 3.1. Visão Geral e Navegação no Aplicativo SIEM (2h)
    • Explorando as páginas de Hosts, Network, Detections, Alerts e Timelines.
    • Uso do KQL (Kibana Query Language) e NRQL (New Relic Query Language - Correção: NRQL é New Relic Query Language. Para Elastic é KQL e EQL - Elastic Query Language) para busca e filtragem.
    • Prática: Navegar na interface do SIEM e realizar buscas básicas.
  • 3.2. Regras de Detecção e MITRE ATT&CK (2h)
    • Criando regras de detecção customizadas (threshold, event correlation, rule chaining).
    • Utilizando as regras pré-construídas do Elastic e mapeamento para MITRE ATT&CK.
    • Gerenciamento de falsos positivos e otimização de regras.
    • Prática: Implementar e testar regras de detecção para cenários de ataque comuns.
  • 3.3. Machine Learning para Detecção de Anomalias (2h)
    • Introdução ao Machine Learning no Elastic Stack para segurança.
    • Configurando trabalhos de ML para detecção de anomalias (e.g., picos de login falhos, tráfego de rede incomum).
    • Interpretação de resultados de ML e sua aplicação na detecção de ameaças.
    • Prática: Configurar um trabalho de ML para detectar comportamento anômalo.

Módulo IV: Investigação, Resposta e Operações de Segurança (6 horas)

  • 4.1. Investigação de Incidentes com Timelines e Cases (2h)
    • Construindo linhas do tempo (Timelines) para correlacionar eventos de ataque.
    • Utilizando o recurso de Cases para gerenciamento e colaboração em investigações.
    • Técnicas de análise de logs e eventos para causa raiz.
    • Prática: Investigar um incidente simulado usando Timelines e Cases.
  • 4.2. Threat Hunting Proativo com o Elastic SIEM (2h)
    • Estratégias e metodologias de Threat Hunting.
    • Utilizando o Elastic SIEM para buscar por IoCs e TTPs (Táticas, Técnicas e Procedimentos).
    • Uso da Elastic Query Language (EQL) para queries avançadas e correlação de eventos.
    • Prática: Realizar uma sessão de Threat Hunting em dados de segurança.
  • 4.3. Elastic Agent, Segurança de Endpoint e Operações (2h)
    • Visão geral do Elastic Agent e capacidades de EDR (Endpoint Detection and Response).
    • Integração do Elastic Agent com o SIEM para proteção de endpoint.
    • Automação e Resposta (SOAR) no contexto do Elastic SIEM (integrações com ferramentas externas).
    • Melhores práticas de operação, manutenção e otimização do Elastic SIEM.
TENHO INTERESSE

Cursos Relacionados

Curso Ansible Red Hat Basics Automation Technical Foundation

16 horas

Curso Terraform Deploying to Oracle Cloud Infrastructure

24 Horas

Curso Ansible Linux Automation with Ansible

24 horas

Ansible Overview of Ansible architecture

16h

Advanced Automation: Ansible Best Practices

32h