Curso ONLINE
Curso de Automatización y orquestación de seguridad (SOAR)
Presentación del curso
Durante el Curso de Automatización y orquestación de seguridad (SOAR) se abordarán de manera práctica, concisa y directa los aspectos esenciales relacionados con las tecnología tipo SOAR, se mencionarán no sólo aspectos tecnológicos sino los procesos afectados por esta tecnología y cómo a través de la misma somos capaces de mejorar las capacidades de respuesta ante incidentes y crear un proceso unificado para toda la organización, utilizar fuentes de inteligencia interna y externa de manera útil y automatizada y podremos extraer indicadores que nos permitirán medir nuestra madurez en todas las fases de la ciberseguridad.
Este curso forma parte del Master en Ciberseguridad. Si quieres ampliar tu formación, consulta el programa del Postgrado completo.
Durante el Curso de Automatización y orquestación de seguridad (SOAR) se abordarán de manera práctica, concisa y directa los aspectos esenciales relacionados con las tecnología tipo SOAR, se mencionarán no sólo aspectos tecnológicos sino los procesos afectados por esta tecnología y cómo a través de la misma somos capaces de mejorar las capacidades de respuesta ante incidentes y crear un proceso unificado para toda la organización, utilizar fuentes de inteligencia interna y externa de manera útil y automatizada y podremos extraer indicadores que nos permitirán medir nuestra madurez en todas las fases de la ciberseguridad.
Este curso forma parte del Master en Ciberseguridad. Si quieres ampliar tu formación, consulta el programa del Postgrado completo.
¿Qué aprenderás en este curso?
Al finalizar el Curso de Automatización y orquestación de seguridad (SOAR) serás perfectamente capaz de:
- Saber definir, desarrollar o mejorar un proceso de respuesta antes incidentes en una organización de tamaño mediano/grande.
- Saber analizar cuáles son las mejores métricas para este tipo de procesos (MTTxs) como tiempo medio en contener, responder o detectar.
¿Para quién es este curso?
El Curso de Automatización y orquestación de seguridad (SOAR) proporciona formación específicamente orientada a los siguientes perfiles:
- Profesionales del entorno IT que necesiten estos conocimientos para desarrollar su trabajo o que quieran reorientar su carrera profesional
- Otros ámbitos profesionales que estén involucrados en el manejo y procesos de datos, aplicaciones, reglamentación y normativa de información y datos, como abogados, auditores, consultores…
Plan de estudios
El curso incluye:
Contenidos del curso:
- Bienvenida y presentación
Resumen
Se expondrán los conceptos generales de respuesta ante incidentes usando un estándar internacional como es el del NIST, definición, fases, objetivos requisitos y qué aspectos son relevantes a tener en cuenta para crear una política de manejo ante incidentes.
Finalizaremos con una breve mención al SOAR de Splunk que será el que usemos en las clases 2, 3 y proyecto final de este módulo.
Objetivos
- Aprender las fases recomendadas ante la respuesta y manejo de incidentes.
- Aprender qué aspectos son importantes para crear una política de respuesta ante incidentes.
- Describir los requisitos necesarios para poder llevar un manejo adecuado de incidentes en cualquier organización.
Temario
- Contexto
- Introducción e Índice
- Whoami
- Objetivos de la clase
- Conceptos iniciales
- Eventos e incidentes
- Preparación ante incidentes + Marcos de referencia
- Documentación P3
- Documentación P3: Plan, Política y Procedimientos
- Comunicación de incidentes
- Procedimientos para el correcto tratamiento de la información
- Modelos de equipos y dependencias internas
- Modelos de equipos y dependencias internas
- Ciclo de vida de la respuesta ante incidentes
- Preparación | Detección y análisis | Contención y recuperación | Post-mortem
- Flujos de referencia ante incidentes
- proceso de manejo de incidentes
- Breve introducción al SOAR
- Breve introducción al SOAR de Splunk
Resumen
En esta clase veremos cómo está arquitecturizado un SOAR por dentro, prácticamente todos comparten arquitecturas similares. En nuestro caso particular veremos como es Splunk SOAR (más conocido como Phantom). Existen dos tipos de instalaciones de un SOAR: con un único nodo o bien un cluster de varios nodos con un balanceador por delante de todos los nodos. Profundizaremos y veremos cómo podemos hacer la instalación de un único nodo a modo de Laboratorio. Esta instancia que veremos es aprovechable ya que se trata de un entorno virtualizado que podremos llevarnos a cualquier otra máquina si disponemos de un Virtualbox o un VMWare para ejecutarlo. Finalmente veremos unas pinceladas de cómo es la herramienta pero lo profundizaremos en la Clase 3.
Objetivos
Los objetivos a conseguir con esta clase 2 son básicamente dos:.
- Entender cómo funciona por dentro un SOAR orquestando las comunicaciones internas y externas con otros sistemas de seguridad que nos van a permitir mejorar los tiempos de respuesta ante incidentes de ciberseguridad.
- Montar una instancia sencilla de un Laboratorio con Splunk SOAR sobre un VirtualBox lo que nos permitirá continuar profundizando en la siguiente clase.
Temario
- Tecnología SOAR
- Presentación
- ¿Qué es la tecnología SOAR?
- Arquitectura Splunk SOAR
- Arquitectura Splunk SOAR Cluster
- Instalación SOAR
- Paso 1 - Instalacion Virtualbox
- Paso 2 - Descarga de la OVA de Phantom
- Paso 3.1 - Primer arranque de MV Splunk 1 de 2
- Paso 3.2 - Arranque de la MV desde Virtualbox
- Paso 3.3 - Configuración de la red y mapeo NAT
- Tour por la herramienta 1 de 2
- Aplicación Virus total y Playbook ejemplo (Tour 2 de 2)
- Administración SOAR
Resumen
En esta clase entraremos en detalle a ver todos los elementos con los que un usuario puede trabajar dentro del SOAR Splunk. Empezaremos viendo las Apps que podemos descargar desde el portal de Splunk Base y que han sido desarrolladas de forma específica para el SOAR Splunk. Bajando a más detalle en las Apps veremos cuales son las acciones que ofrecen y para finalizar con las Apps veremos cómo podemos crear un Asset que nos permitirá hacer la configuración de dicha App para una instancia concreta. Luego veremos las fuentes de los Eventos que dotarán del “alimento” a los Playbooks que a su vez podremos ejecutar manualmente o desde los Workbooks. Para finalizar entraremos también al detalle del menú de administración que nos permite ver el estado de salud del SOAR y de las ejecuciones que se están llevando a cabo dentro del mismo.
Objetivos
En esta clase vamos a tener más objetivos que en la anterior, dado que para poder operar con nuestro SOAR es necesario que conozcamos al detalle todo lo que nos ofrece:
- Conseguir instalar o actualizar así como configurar una App que nos dotará de las acciones necesarias para poder ser ejecutadas desde nuestros Playbooks.
- Ser capaces de implementar un flujo para gestionar un incidente de ciberseguridad atendiendo a una política definida en la primera clase plasmado en un Playbook.
- Entender como la creación de un Evento a partir de una fuente de datos nos permite disparar la ejecución de un Playbook.
- Entender cómo podemos ejecutar Playbooks de forma manual desde un Workbook.
- Saber cómo monitorizar el estado de salud de nuestra instancia SOAR Splunk.
Temario
- Componentes del SOAR
- Apps SOAR Splunk
- Acciones en las Apps
- Assets de las Apps
- Data sources
- Roles de usuarios
- Playbooks
- Vista de playbooks y editor de playbooks I
- Vista de playbooks y editor de playbooks II
- Workbooks
- Health check 1 (memoria, CPU, procesos)
- Health check 2 (ejecución de Playbooks, ejecución de acciones)
Nuestros alumnos opinan
¿Por qué elegirnos?
Descubre lo que nos diferencia
El 95% de nuestros alumnos está trabajando o emprende cuando finaliza sus estudios
Somos la mayor comunidad de profesionales digitales del mundo
Expertos en formación online: más de 10 años liderando la innovación del elearning
El 95% de nuestros alumnos consiguen mejorar su situación al finalizar sus estudios
Curso de Automatización y orquestación de seguridad (SOAR)
U$S 510
Curso de Automatización y orquestación de seguridad (SOAR)