Este curso está diseñado para presentar una introducción a las herramientas de monitorización de infraestructura IT desde el punto de vista de la seguridad. Los objetivos del curso son: • Entender qué es la monitorización de infraestructura y por qué es una actividad crítica para analizar, gestionar y reportar lo que está ocurriendo en la red corporativa y cómo está afectando a la disponibilidad de servidores, aplicaciones y otros recursos. • Conocer qué información se monitoriza, cómo y por qué. • Conocer el estado del arte de las herramientas de monitorización de seguridad, qué tipos de herramientas existen y para qué se usan. • Presentar una comparativa de una selección de las herramientas más populares (SIEM y IDS/IPS). • Realizar casos prácticos que permitan entender con ejemplos cómo funciona una herramienta de monitorización de seguridad.
| FASE/S | HORA/S | FECHA | HORARIO | TIPO |
|---|---|---|---|---|
| 1 | 5.00 | 27-06-2022 | 09:00 – 14:00 | Presencial |
| 2 | 5.00 | 28-06-2022 | 09:00 – 14:00 | Presencial |
| Horas no presenciales: 0.00 |
Competencias
• Conocimientos genéricos de Linux y administración de sistemas y redes.
• Se recomienda tener competencias básicas en el mantenimiento de sistemas operativos mediante la línea de comandos, como scripts de Shell en entornos Linux o CMD/PowerShell en Windows.
• Se recomienda tener conocimientos básicos de protocolos de red (TCP/IP, HTTP).
Contenidos
Parte 1: Herramientas de Monitorización
Introducción a la monitorización de IT
• Cuál es el objetivo de monitorizar.
• Qué tipos de herramientas hay y su función.
• Cómo complementan a otras herramientas de seguridad: escáneres, inventarios, WAFs, IDS/IPS.
• Qué información se monitoriza y para qué.
o Network analisys, logs, endpoint.
o Logs: HTTP Proxy Logs, logs de sistema y de aplicación.
o Windows Events & Sysmon Data.
o Información de red: NetFlow Data.
o Alertas IDS.
o Otras fuentes de datos.
• Cómo funcionan: reglas, anomaly detection, machine learning, etc.
• Threat mapping Framework: MITRE ATT&CKTM.
• Qué tipos de arquitectura usan: HW/SW on-premises, cloud, cloud-native, next generation, SaSS, Sondas / Fordwarders.
• Funcionalidades y características habituales de una herramienta de monitorización.
Comparativa de herramientas:
• Funcionalidades.
• Arquitectura.
• Casos de Uso.
• Modelos de venta / Pricing.
• Pros & Cons de cada opción.
Parte 2: Taller
TALLER 1 – ELK
• Uso del stack Open Source ELK.
• Conexión de diferentes fuentes de datos (monitorización de logs de Windows y Linux y reenvío de datos de red).
TALLER 2 – Casos de Uso
• Creación de Dashboards desde diferentes puntos de vista. Dashboards predeterminados.
• Creación y pruebas de detección de diferentes ataques. Casos de Uso candidatos:
o Ataque de fuerza bruta sobre sistema de autenticación.
o Detección de software de cryptomining.
o Detección de reverse Shells.
o Detección de anomalías.
o Movimientos laterales.
o Ataques persistentes.
NOTA: Se seleccionarán 3-4 casos de uso para poder realizarlos dentro del tiempo disponible.
Metodología
Se alternarán contenidos teóricos con talleres prácticos.
Evaluación
No se realizará evaluación.
Requisitos
Ser profesor/a en algún centro de Formación Profesional de la CAPV.
Criterios de selección
En caso de que el número de inscripciones supere el número de plazas ofertadas, se procederá a la selección siguiendo los siguientes criterios:
- Se priorizará la participación de una persona por centro.
- Se tendrá en cuenta el orden de inscripción.
Fechas e información sobre la inscripción
• Plazo de inscripción: 13 de junio de 2022.
• Resolución: 14 de junio de 2022, se comunicará por email a las personas inscritas la admisión o exclusión de la formación.
• La persona que haya sido aceptada deberá completar la matrícula online. (Accediendo al enlace que se enviará mediante correo electrónico y rellenando todos los datos solicitados)
