Wydział Informatyki - Cyberbezpieczeństwo
Sylabus przedmiotu Narzędzia typu SIEM:
Informacje podstawowe
| Kierunek studiów | Cyberbezpieczeństwo | ||
|---|---|---|---|
| Forma studiów | studia niestacjonarne | Poziom | podyplomowe |
| Tytuł zawodowy absolwenta | |||
| Obszary studiów | charakterystyki PRK | ||
| Profil | |||
| Moduł | — | ||
| Przedmiot | Narzędzia typu SIEM | ||
| Specjalność | przedmiot wspólny | ||
| Jednostka prowadząca | Katedra Inżynierii Oprogramowania i Cyberbezpieczeństwa | ||
| Nauczyciel odpowiedzialny | Tomasz Hyla <Tomasz.Hyla@zut.edu.pl> | ||
| Inni nauczyciele | Imed El Fray <Imed.El Fray@zut.edu.pl>, Jerzy Pejaś <Jerzy.Pejas@zut.edu.pl> | ||
| ECTS (planowane) | 3,0 | ECTS (formy) | 3,0 |
| Forma zaliczenia | zaliczenie | Język | polski |
| Blok obieralny | — | Grupa obieralna | — |
Formy dydaktyczne
Wymagania wstępne
| KOD | Wymaganie wstępne |
|---|---|
| W-1 | brak |
Cele przedmiotu
| KOD | Cel modułu/przedmiotu |
|---|---|
| C-1 | Celem przedmiotu jest zdobycie podstawowych umiejętności wykorzystania narzędzi typu SIEM. |
Treści programowe z podziałem na formy zajęć
| KOD | Treść programowa | Godziny |
|---|---|---|
| laboratoria | ||
| T-L-1 | Konfiguracja środowiska Splunk Enterprise. | 2 |
| T-L-2 | Zarządzanie oraz klasyfikacja logów/zdarzeń pod kątem bezpieczeństwa środowiska w warunkach codziennej pracy. Łączenie w ciąg przyczynowo skutkowy logów/zdarzeń i wykrywanie dzięki niemu ataków cybernetycznych. | 2 |
| T-L-3 | Analiza incydentów bezpieczeństwa przy pomocy systemu SIEM. | 2 |
| T-L-4 | Rozpoznawanie schematów działania jednostek atakujących infrastrukturę. | 2 |
| T-L-5 | Rozpoznanie i ocena infrastruktury IT pod kątem metod ochrony przed atakami cybernetycznymi. | 2 |
| T-L-6 | Poznanie popularnych metod ataków na infrastrukturę oraz sposobu ich wykrywania. | 2 |
| T-L-7 | Weryfikacja ruchu sieciowego za pomocą kolektora logów Splunk | 2 |
| T-L-8 | Szukanie anomalii oraz informacji związanych z infekcją złośliwym oprogramowaniem. | 2 |
| 16 | ||
| wykłady | ||
| T-W-1 | Charakterystyka sieci IT i OT. | 1 |
| T-W-2 | Log Management (LMS). | 1 |
| T-W-3 | Security Information Management (SIM). | 1 |
| T-W-4 | Security Event Management (SEM). a) Intrusion Detection Systems (IDS) - analiza ruchu sieciowego, analiza heurystyczna, analiza anomalii, analiza sygnaturowa, analiza pakietów w oparciu o zdefiniowane reguły, śledzenie pakietów w dłuższym okresie, dekodowanie protokołów warstw wyższych, analiza konfiguracji i aktywności aplikacji/ - Network Based - Intrusion Detection System (NIDS). - Host Based - Intrusion Detection System (HIDS). - Network Node - Intrusion Detection System (NNIDS). b) IPS (Intrusion Prevention Systems). | 1 |
| T-W-5 | Firewall NGFW. | 1 |
| T-W-6 | SIEM (Security Information and Event Management) - monitoring bezpieczeństwa sieci, analiza zachowań, zapobieganie utracie danych, bezpieczeństwo w chmurze, audyt katalogów, analiza zagrożeń, kompleksowe zarządzanie incydentami. | 1 |
| T-W-7 | Środowisko Splunk Enterprise. | 1 |
| T-W-8 | Model bezpieczeństwa "Zero Trust Security". | 1 |
| 8 | ||
Obciążenie pracą studenta - formy aktywności
| KOD | Forma aktywności | Godziny |
|---|---|---|
| laboratoria | ||
| A-L-1 | Udział w zajęciach laboratoryjnych | 16 |
| A-L-2 | Przygotowanie do realizacji zadań na laboratorium | 39 |
| 55 | ||
| wykłady | ||
| A-W-1 | Udział w wykładach | 8 |
| A-W-2 | Przygotowanie do zaliczenia wykładu | 10 |
| A-W-3 | Udział w konsultacjach | 2 |
| 20 | ||
Metody nauczania / narzędzia dydaktyczne
| KOD | Metoda nauczania / narzędzie dydaktyczne |
|---|---|
| M-1 | wykład problemowy |
| M-2 | ćwiczenia laboratoryjne |
Sposoby oceny
| KOD | Sposób oceny |
|---|---|
| S-1 | Ocena formująca: ocena wykonywanych zadań praktycznych |
| S-2 | Ocena formująca: zaliczenie pisemne |
Zamierzone efekty uczenia się - wiedza
| Zamierzone efekty uczenia się | Odniesienie do efektów kształcenia dla kierunku studiów | Odniesienie do efektów zdefiniowanych dla obszaru kształcenia | Cel przedmiotu | Treści programowe | Metody nauczania | Sposób oceny |
|---|---|---|---|---|---|---|
| CB_10-_CYBSIEM_W01 zna elementy składowe tworzące środowisko systemów SIEM | CB_10-_W01, CB_10-_W08, CB_10-_W10 | — | C-1 | T-W-1, T-W-2, T-W-3, T-W-4, T-W-6, T-W-7, T-W-8, T-W-5 | M-1 | S-2 |
Zamierzone efekty uczenia się - umiejętności
| Zamierzone efekty uczenia się | Odniesienie do efektów kształcenia dla kierunku studiów | Odniesienie do efektów zdefiniowanych dla obszaru kształcenia | Cel przedmiotu | Treści programowe | Metody nauczania | Sposób oceny |
|---|---|---|---|---|---|---|
| CB_10-_CYBSIEM_U01 potrafi konfigurować środowisko systemów SIEM | CB_10-_U04, CB_10-_U09 | — | C-1 | T-L-1, T-L-2 | M-2 | S-1 |
| CB_10-_CYBSIEM_U02 potrafi wykrywać ataki z wykorzystaniem narzędzi SIEM | CB_10-_U08 | — | C-1 | T-L-3, T-L-4, T-L-5 | M-2 | S-1 |
| CB_10-_CYBSIEM_U03 potrafi zarządzać oraz klasyfikować zdarzenia (logi) pod kątem funkcjonowania bezpieczeństwa usług i danych w infrastrukturze IT | CB_10-_U03, CB_10-_U04, CB_10-_U09 | — | C-1 | T-L-6, T-L-7, T-L-8 | M-2 | S-1 |
Zamierzone efekty uczenia się - inne kompetencje społeczne i personalne
| Zamierzone efekty uczenia się | Odniesienie do efektów kształcenia dla kierunku studiów | Odniesienie do efektów zdefiniowanych dla obszaru kształcenia | Cel przedmiotu | Treści programowe | Metody nauczania | Sposób oceny |
|---|---|---|---|---|---|---|
| CB_10-_CYBSIEM_K01 jest gotów do wykonywania w sposób staranny i profesjonalny analizy bezpieczeństwa środowiska infrastruktury IT | CB_10-_K01 | — | C-1 | T-L-3, T-L-4, T-L-7, T-L-8 | M-2 | S-1 |
Kryterium oceny - wiedza
| Efekt uczenia się | Ocena | Kryterium oceny |
|---|---|---|
| CB_10-_CYBSIEM_W01 zna elementy składowe tworzące środowisko systemów SIEM | 2,0 | |
| 3,0 | uzyskanie minimum 51% punktów z zaliczenia | |
| 3,5 | ||
| 4,0 | ||
| 4,5 | ||
| 5,0 |
Kryterium oceny - umiejętności
| Efekt uczenia się | Ocena | Kryterium oceny |
|---|---|---|
| CB_10-_CYBSIEM_U01 potrafi konfigurować środowisko systemów SIEM | 2,0 | |
| 3,0 | poprawne wykonanie ponad 51% scenariuszy laboratoriów | |
| 3,5 | ||
| 4,0 | ||
| 4,5 | ||
| 5,0 | ||
| CB_10-_CYBSIEM_U02 potrafi wykrywać ataki z wykorzystaniem narzędzi SIEM | 2,0 | |
| 3,0 | poprawne wykonanie ponad 51% scenariuszy laboratoriów | |
| 3,5 | ||
| 4,0 | ||
| 4,5 | ||
| 5,0 | ||
| CB_10-_CYBSIEM_U03 potrafi zarządzać oraz klasyfikować zdarzenia (logi) pod kątem funkcjonowania bezpieczeństwa usług i danych w infrastrukturze IT | 2,0 | |
| 3,0 | poprawne wykonanie ponad 51% scenariuszy laboratoriów | |
| 3,5 | ||
| 4,0 | ||
| 4,5 | ||
| 5,0 |
Kryterium oceny - inne kompetencje społeczne i personalne
| Efekt uczenia się | Ocena | Kryterium oceny |
|---|---|---|
| CB_10-_CYBSIEM_K01 jest gotów do wykonywania w sposób staranny i profesjonalny analizy bezpieczeństwa środowiska infrastruktury IT | 2,0 | |
| 3,0 | poprawne wykonanie ponad 51% scenariuszy laboratoriów | |
| 3,5 | ||
| 4,0 | ||
| 4,5 | ||
| 5,0 |
Literatura podstawowa
- D. Murdoch, Blue Team Handbook: SOC, SIEM, and Threat Hunting (V1.02): A Condensed Guide for the Security Operations Team and Threat Hunter, 2019
- A.E. Thomas, Security Operations Center - SIEM Use Cases and Cyber Threat Intelligence, 2018