Advanced Elastic Security Training
- Umfassende Betrachtung für den optimalen Einsatz der Elastic SIEM Lösung in Ihrem Unternehmen
- Zahlreiche praktische Übungen, u.a. komplexe Logquellenanbindung, Einsatz von Machine Learning, Threat Hunting
- Anwendung der erworbenen Kompetenzen in einem realitätsnahen Unternehmensszenario
- Best Practices und Erfahrungen aus 10+ Jahren SIEM Beratung und 24/7 SOC Betrieb
Darum Advanced Elastic Security Training von SECUINFRA!
Trainingskonzept - passt unser Training für Sie?
Um Ihnen einen ersten Eindruck zu vermitteln, stellen wir Ihnen unser Trainingskonzept kurz vor.
Im darauffolgenden Abschnitt gehen wir näher auf die Schulungsinhalte ein.
Was bietet dieser Kurs?
- Wiederholung essenzieller Grundlagen sowie Vermitteln weiterführender Inhalte, u.a. Threat Hunting, EDR Funktionsweise und effektive Nutzung der Machine-Learning Funktionalitäten
- Tiefes Verständnis des Elastic Stacks
- Fokus auf die typischen Aufgaben eines SIEM-Engineers / Analysten (Logquellen Anbindung, Use-Case Entwicklung, Threat Hunting etc.)
- Praktische Umsetzung der Lerninhalte durch viele Übungen
- Best Practices und Erfahrungen aus 10+ Jahren SIEM Beratung und 24/7 SOC Betrieb
- Anwendung der erlernten Kenntnisse in einem realitätsnahen Szenario
- Betreuung durch einen Elastic-Security-Experten
Was bietet der Kurs nicht?
- Themen rund um die Installation des Elastic Stacks
- Ausführliche theoretische Betrachtung von Maschinellem Lernen (ML) / Generativer KI
- Betrachtung jedes einzelnen Elastic-Features
- Vermittlung von IT-Sicherheitsgrundlagen
Stehen Sie noch am Anfang und suchen einen Kurs, der einen schnellen Einstieg in Elastic Security bietet?
Dann ist unser Elastic Security Training genau richtig für Sie.
Nochmals vielen Dank für die stets verständliche Aufbereitung der Inhalte und das hervorragende Zeitmanagement.
Feedback eines KRITIS-Betreibers, der sein SIEM nun selbst betreibt.
Agenda und Schulungsinhalte
Im Folgenden finden Sie unsere Empfehlung für eine 4-Tages Schulung, die Ihnen die notwendigen Elastic Grundlagen für einen erfolgreichen Einsatz ihres SIEMs vermittelt.
Tag 1: Wiederholung, ESQL und Visualisierungen
Agenda
- Wiederholung der wichtigsten Elastic-Themen
- Aufzeigen einer typischen SIEM-Architektur und Möglichkeiten der Logquellenanbindung
- Durchsuchen der Logs mithilfe von KQL, Lucene, EQL und ESQL
- Fortgeschrittene Visualisierungen und Dashboards
Lernziele des ersten Tages
- Wiederholung essenzieller Elastic-Themen
- Anbindung neuer Logquellen
- Effizientes Durchsuchen der Daten
- Erstellen vielseitiger Dashboards
Am ersten Tag starten wir mit einer kurzen Wiederholung der wichtigsten Aspekte rund um das Elastic Ökosystem inklusive der Betrachtung einer typischen SIEM-Architektur und den verschiedenen Arten des Log-Ingests. Anschließend fokussieren wir uns auf das Durchsuchen von Logs (Filter, KQL, Lucene, EQL, ESQL), wobei wir insbesondere auf die neue Suchsprache ESQL genauer eingehen. Hier werden wir eine Strategie erlernen, um komplexe Sachverhalte Schritt für Schritt mit ESQL zu lösen. Zum Abschluss des ersten Tages werden wir uns im Detail mit den Visualisierungsmöglichkeiten auseinandersetzen, um optimale Graphiken in Dashboards zu erstellen und Sachverhalte möglichst intuitiv aufbereiten zu können.
Tag 2: Elasticsearch Deep Dive und Elastic Security
Agenda
- Datenverarbeitung und Parsing im SIEM
- Indexierung und Mapping
- Ingest Pipelines
- Index Lifecycle Management
- Snapshots
- Stack Monitoring
- Lizensierung
- Grundlagen der Regelerstellung und Alert-Analyse
Lernziele des zweiten Tages
- Aufbereitung beliebiger Daten für die optimale Nutzung im SIEM Kontext
- Steuerung des Event Volumens
- Backup und Langzeitarchivierung der Daten
- Überwachen des Elastic-Stacks
- Kenntnis der Unterschiede zwischen den Elastic Lizenzen
- Einsatzgebiete unterschiedlicher Regel-Typen
- Verwendung verschiedener Analyse-Strategien zur Alert-Analyse
Am zweiten Tag tauchen wir tief in den Elastic-Stack ein und setzen uns intensiv mit der komplexen Datenverarbeitung im SIEM auseinander. Dabei fokussieren wir uns insbesondere auf das Zusammenspiel der verschiedenen Komponenten. Hierbei werden wir anhand eines Loganbindungs-Beispiel sämtliche notwendigen Schritte durchlaufen und die Kenntnisse direkt in der Praxis anwenden. Im Anschluss wenden wir uns der Überwachung des Elastic Stacks zu inkl. der Regelerstellung, um einen erfolgreichen Betrieb sicherzustellen. Zudem geben wir einen kurzen Einblick in die Lizenzmodelle und die damit verknüpften Features bevor wir in die Elastic Security starten. Hier werden wir uns sowohl mit der Erstellung verschiedener Security Regeln, als auch möglichen Analysestrategien und deren Stärken und Schwächen beschäftigen.
Tag 3: Elastic EDR, Threat Hunting, ML und Use-Case Entwicklung
Agenda
- Elastic EDR Advanced
- Threat Hunting inkl. Osquery
- Machine Learning (ML) in Elastic
- Use-Case Entwicklung
- SIEM Grundlagen
- MITRE ATT&CK
- Logquellen
Lernziele des dritten Tages
- Tiefgehendes Verständnis von EDR und der erfassten Telemetrie
- Schutz der eigenen Infrastruktur durch EDR
- Nutzung von Threat Intelligence
- Gezielter Einsatz von Machine-Learning (ML) im SIEM-Kontext
- Proaktives Erkennen von Bedrohungen durch Threat Hunting
- Auswahl der Use-Cases anhand von MITRE ATT&CK
- Überblick über verschiedene Logquellen
Am dritten Tag schließen wir den Elastic Security Teil mit den Themenbereichen EDR, Threat Hunting (inkl. Osquery) und den Machine Learning Modulen in Elastic ab. Im EDR-Modul werden wir uns in der Tiefe mit den verschiedenen Telemetrie-Daten, der Funktionsweise des Elastic EDRs sowie der praktischen Anwendung beschäftigen. Anschließend wird im Threat Hunting Modul der Fokus auf das proaktive Erkennen von Malware gelegt und anhand praktischer Beispiele verdeutlicht. Im Machine-Learning Modul werden nach einer kurzen Einführung in den Bereich verschiedene Möglichkeiten aufgezeigt, um die Detektionsfähigkeit des Elastic SIEMs zu erweitern. In der zweiten Hälfte des Tages widmen wir uns den Grundlagen der Use-Case Entwicklung. Nach einer kurzen Einführung in das Thema SIEM und Use-Cases fokussieren wir uns auf das MITRE ATT&CK Framework, das sich in der Use-Case Auswahl als de-facto Standard durchgesetzt hat. Im Anschluss folgt ein kurzer Einblick in verschiedene Logquellen, die zur Entwicklung von Use-Cases herangezogen werden können. Der Fokus wird hier auf Betriebssystem-Logs gesetzt aufgrund der hohen Logqualität.
Tag 4: Anwendung der erlernten Fähigkeiten in einem realitätsnahen Szenario
Agenda
- Szenario Einführung
- Use-Case Entwicklung
- Angriffssimulation
- Analyse des Angriffs
- Q&A
Lernziele des vierten Tages
- Entwicklung von Use-Cases im Unternehmenskontext
- Analyse und Rekonstruktion eines mehrstufigen Angriffs
- Festigung und Anwendung der erlernten Kenntnisse in der Praxis
Zum Abschluss der Schulung bekommen am vierten Tag alle Teilnehmer die Möglichkeit, die erlernten Fähigkeiten in einem realitätsnahen Szenario umzusetzen. Hierbei wird ein Unternehmen vorgestellt, für das die Teilnehmer verschiedene Use-Cases entwickeln werden. Anschließend findet eine Angriffssimulation statt, deren genauen Vorgang die Teilnehmer anhand der Alerts ihrer erstellen Use-Cases, sowie der Daten im SIEM allgemein, rekonstruieren sollen. Nach einer ausführlichen Besprechung des Szenarios beschließen wir den letzten Tag der Schulung mit einem Q&A-Teil, in dem nochmal Zeit für Fragen zu den verschiedenen Themen eingeräumt wird.
Bei exklusiven Schulungen kann der Schulungsinhalt individuell auf Ihre Bedürfnisse abgestimmt werden.
Termine & Kosten
Nächstmögliche Schulungstermine:
- nach Absprache (für exklusive Schulungsanfragen)
Kosten für Schulungsteilnahme:
- 1.900 € pro Teilnehmer (4-tägige Schulung)
Mengenrabatt möglich, siehe FAQ
Die wichtigsten FAQ - Advanced Elastic Security Training
Als Unterrichtssprachen sind Deutsch und Englisch möglich. Die Materialien (Folien, Übungen) sind in englischer Sprache.
Die Folien und Übungen sind in englischer Sprache, da auch die Elastic-Dokumentation in englischer Sprache ist und mit englischen Suchbegriffen entsprechend mehr Fragen beantwortet werden können.
Bei exklusiven Schulungen besprechen wir gerne mit Ihnen, inwieweit wir weitere Wünsche berücksichtigen können. Sprechen Sie uns an!
Am Ende der Schulung erhalten alle Teilnehmer eine entsprechende Teilnahmebestätigung, die die erfolgreiche Teilnahme an der Schulung bescheinigt.
Pro Schulungstermin können maximal 10 Personen teilnehmen. Die kleine Gruppengröße gewährleistet, dass auf jeden Teilnehmer individuell eingegangen werden kann.
Bei einer Mindestteilnehmerzahl von fünf Personen können die Schulungen auch exklusiv für Ihr Unternehmen durchgeführt werden. Gerne finden wir mit Ihnen einen passenden Termin. Die Schulung kann auch auf mehrere kurze Termine aufgeteilt werden, um das Tagesgeschäft der Teilnehmer nicht zu belasten. Sprechen Sie uns an!
Das Schulung findet remote statt, so dass jeder Teilnehmer bequem von seinem Arbeitsplatz aus teilnehmen kann.
Für die Teilnahme an der Schulung ist ein Computer mit einer ausreichend schnellen Internetverbindung erforderlich. Alle Übungen finden im Browser statt und die Schulung selbst wird in Teams durchgeführt. Die Verwendung des Firefox- oder Chrome-Browsers und wenn möglich die Installation des lokalen Teams-Clients (alternativ Webteilnahme via Chrome- oder Microsoft Edge-Browser möglich) wird empfohlen.
Die Teilnahme an der Schulung kostet 1.900 € pro Person.
Bei Anmeldung von mehr als 3 Personen (für den gleichen Schulungstermin) können wir Ihnen einen Mengenrabatt gewähren, der sich nach der Anzahl der angemeldeten Personen richtet.
Das Elastic Security Training richtet sich an Personen, die den Elastic-Stack von Grund auf kennenlernen möchten und ist auch für Beginner geeignet. Im Advanced Elastic Security Training werden die Grundlagen nur kurz wiederholt (z.B. die verschiedenen Suchsprachen) und der Fokus auf weiterführende Themengebiete (z.B. ML, Threat Hunting) gelegt.
Unsere Expertise
Nehmen Sie hier Kontakt zu uns auf!
Kontaktformular Elastic Security Training
Kontaktformular Elastic Security Training am Seitenende
„*“ zeigt erforderliche Felder an