Seminar SIEMonster Essentials: Plattform, UI, SOC-Grundlagen

Inhaltsverzeichnis

• Abstract
• Zielgruppe
• Voraussetzungen
• Lernziele
• Inhalte und Ablauf
• Praxis

Abstract

Das Seminar vermittelt den operativen Einstieg in SIEMonster. Inhalte sind Navigation und Arbeitsweise im Web-UI, Mandanten- und Rollenlogik, Event Search und Dashboarding, Grundlagen zu Alerting und Übergabe in Incident-Prozesse sowie ein erster Reporting-Workflow. Der Schwerpunkt liegt auf wiederholbaren Bedienabläufen und einem klaren SOC-Basisset an Handgriffen für Triage, Suche, Visualisierung und Übergabe.

Zielgruppe

SOC-Analysten, SecOps, IT-Security, SIEM-Operatoren, Incident-Handler (Entry Level), technische Teamleitungen.

Voraussetzungen

Grundverständnis Logdaten (Syslog, Windows Events), Basiswissen Incident-Prozesse, grundlegende Netzwerkbegriffe.

Lernziele

• UI sicher bedienen, Daten finden, filtern, strukturieren
• Dashboards und Sichten für operative Arbeit erstellen
• Grundprinzipien von Alerts verstehen und triagieren
• Übergabe an Incident-Prozesse und einfache Reportausgaben anwenden

Inhalte und Ablauf

• Tag 1: Plattformüberblick und UI
  • Datenpipeline und Komponentenrollen
  • Mandantenkonzept, globale vs. tenant-spezifische Bereiche
  • Rollen und Rechte: Standardrollen, sichere Grundkonfiguration
  • Unified Dashboard: Widgets, Event-Übersicht, Health-Indikatoren
  • Event Viewer: Drill-down, Zeitfenster, typische Felder
• Tag 2: Event Search, Dashboards und Alerts
  • Event Search: Spalten, Feldliste, Filterarten, Negativfilter
  • Suchlogik: indexbezogene Suche, Zeitfilter, Auto-Refresh
  • Dashboards: Visualisierungen, Saved Objects, operative Boards
  • Alert-Grundlagen: Bedeutung von Severity, deduplizierte Alerts
  • Übergabe in Incident-Prozesse und Basisausgabe

Praxis

• Arbeitsbereich aufbauen
  • Tenant auswählen und Arbeitskontext prüfen
  • Standard-Startdashboard duplizieren
  • Relevante Widgets entfernen und Fokus-Widgets hinzufügen
  • Zeitfenster und Auto-Refresh als Standard definieren
  • Dashboard speichern und als Favorit markieren
• Event Search für Triage
  • Index/Datensatz auswählen
  • Spaltenliste auf Kernfelder reduzieren (Quelle, Ziel, User, Aktion)
  • Positivfilter auf Ereignistyp setzen
  • Negativfilter zur Rauschreduktion setzen
  • Suche speichern und als Ausgangspunkt für Dashboards nutzen
• Alert → Incident-Übergabe
  • Alert im Event-Viewer öffnen
  • Relevante Felder identifizieren und notieren
  • Übergabe auslösen (manuell)
  • Ergebnis in Incident-Bereich prüfen
  • Minimaldokumentation (Kurznotiz, Tags) ergänzen