本课程提供对安全信息和事件管理（SIEM）概念的全面理解，以及使用 Splunk 作为 SIEM 解决方案的实用技能。您将了解 SIEM 基础知识、Splunk 架构、数据收集和管理、数据分析以及相关性和事件响应等高级主题。课程结束时，您将有效地将 Splunk 应用于日志分析、威胁检测和安全监控。 学习目标： 模块 1：SIEM 和日志管理简介 - 认识 SIEM 的基本原理及其在网络安全中的作用。 模块 2：Splunk 架构和安装 - 熟悉作为领先 SIEM 平台的 Splunk。

- 获得有关 Splunk 功能的实践经验 - 评估 Splunk 与其他 SIEM 解决方案的功能。 模块 3：Splunk 中的数据收集和管理 - 了解 Splunk 中的数据摄取、解析和索引 - 组织有效的数据输入并高效地组织数据 - 确定数据保留策略以优化数据管理。 模块 1：SIEM 和日志管理简介 描述：在本模块中，您将了解 SIEM 的基本原理及其在现代网络安全中的重要性。您可以描述 SIEM（安全信息和事件管理）的核心概念，并强调其在当代网络安全实践中的重要性。您将能够识别 SIEM 在安全操作和事件响应中发挥的关键作用。您将了解组织通过实施 SIEM 解决方案可以获得的优势，包括改进威胁检测、增强事件响应、合规性和运营效率。 模块 2：Splunk 架构和安装 描述：在本模块中，您将熟悉作为领先 SIEM 平台的 Splunk。了解 Splunk 所提供的广泛特性和功能，这些特性和功能使其成为杰出的 SIEM 解决方案。探索 Splunk 在日志管理、数据收集和高级分析技术方面的能力。亲身体验 Splunk 的用户界面和基本功能。与 Splunk 界面互动，全面了解其不同组件和导航。检查并讨论 Splunk 的日志管理、数据收集和高级分析技术。比较 Splunk 与市场上其他 SIEM 解决方案的能力。总结使用 Splunk 进行日志管理和数据分析的主要优势。 模块 3：Splunk 中的数据收集和管理 描述：Splunk 中的 "数据收集和管理 "模块侧重于在 Splunk 平台内摄取、组织和有效管理数据的各种方法和技术。它报告了使用转发器、API 和其他来源进行的数据摄取，以及数据解析、索引和保留策略，以确保数据可访问并可用于 Splunk 中的有效分析和监控。您将了解如何有效配置和管理数据输入，以确保及时、准确地将数据输入到 Splunk 中。了解 Splunk 中字段、标签和事件类型的概念，以便有效地组织和分类数据。认识数据保留策略和战略，以控制 Splunk 中数据的生命周期，确保保留相关数据的同时管理存储成本。 目标学员：本课程专为寻求提高 SIEM 技能的网络安全专业人员、IT 管理员和分析师而设计。本课程也适用于对使用 Splunk 进行安全监控和事件响应感兴趣的人员。 学员必备条件：您应具备网络安全概念的基础知识，并熟悉 IT 系统和网络。不要求事先具有使用 Splunk 或 SIEM 的经验。 参考文件：您可以访问 "资源 "部分中的代码文件。 课程时间：7 小时 20 分钟 课程设计在 3 周内完成，包括讲座、实践和测验