Zachodniopomorski Uniwersytet Technologiczny w Szczecinie

Wydział Informatyki - Cyberbezpieczeństwo

Sylabus przedmiotu Narzędzia typu SIEM:

Informacje podstawowe

Kierunek studiów Cyberbezpieczeństwo
Forma studiów studia niestacjonarne Poziom podyplomowe
Tytuł zawodowy absolwenta
Obszary studiów charakterystyki PRK
Profil
Moduł
Przedmiot Narzędzia typu SIEM
Specjalność przedmiot wspólny
Jednostka prowadząca Katedra Inżynierii Oprogramowania i Cyberbezpieczeństwa
Nauczyciel odpowiedzialny Tomasz Hyla <Tomasz.Hyla@zut.edu.pl>
Inni nauczyciele
ECTS (planowane) 3,0 ECTS (formy) 3,0
Forma zaliczenia zaliczenie Język polski
Blok obieralny Grupa obieralna

Formy dydaktyczne

Forma dydaktycznaKODSemestrGodzinyECTSWagaZaliczenie
wykładyW2 8 0,80,40zaliczenie
laboratoriaL2 16 2,20,60zaliczenie

Wymagania wstępne

KODWymaganie wstępne
W-1brak

Cele przedmiotu

KODCel modułu/przedmiotu
C-1Celem przedmiotu jest zdobycie podstawowych umiejętności wykorzystania narzędzi typu SIEM.

Treści programowe z podziałem na formy zajęć

KODTreść programowaGodziny
laboratoria
T-L-1Konfiguracja środowiska Splunk Enterprise.2
T-L-2Zarządzanie oraz klasyfikacja logów/zdarzeń pod kątem bezpieczeństwa środowiska w warunkach codziennej pracy. Łączenie w ciąg przyczynowo skutkowy logów/zdarzeń i wykrywanie dzięki niemu ataków cybernetycznych.2
T-L-3Analiza incydentów bezpieczeństwa przy pomocy systemu SIEM.2
T-L-4Rozpoznawanie schematów działania jednostek atakujących infrastrukturę.2
T-L-5Rozpoznanie i ocena infrastruktury IT pod kątem metod ochrony przed atakami cybernetycznymi.2
T-L-6Poznanie popularnych metod ataków na infrastrukturę oraz sposobu ich wykrywania.2
T-L-7Weryfikacja ruchu sieciowego za pomocą kolektora logów Splunk2
T-L-8Szukanie anomalii oraz informacji związanych z infekcją złośliwym oprogramowaniem.2
16
wykłady
T-W-1Charakterystyka sieci IT i OT.1
T-W-2Log Management (LMS).1
T-W-3Security Information Management (SIM).1
T-W-4Security Event Management (SEM). a) Intrusion Detection Systems (IDS) - analiza ruchu sieciowego, analiza heurystyczna, analiza anomalii, analiza sygnaturowa, analiza pakietów w oparciu o zdefiniowane reguły, śledzenie pakietów w dłuższym okresie, dekodowanie protokołów warstw wyższych, analiza konfiguracji i aktywności aplikacji/ - Network Based - Intrusion Detection System (NIDS). - Host Based - Intrusion Detection System (HIDS). - Network Node - Intrusion Detection System (NNIDS). b) IPS (Intrusion Prevention Systems).1
T-W-5Firewall NGFW.1
T-W-6SIEM (Security Information and Event Management) - monitoring bezpieczeństwa sieci, analiza zachowań, zapobieganie utracie danych, bezpieczeństwo w chmurze, audyt katalogów, analiza zagrożeń, kompleksowe zarządzanie incydentami.1
T-W-7Środowisko Splunk Enterprise.1
T-W-8Model bezpieczeństwa "Zero Trust Security".1
8

Obciążenie pracą studenta - formy aktywności

KODForma aktywnościGodziny
laboratoria
A-L-1Udział w zajęciach laboratoryjnych16
A-L-2Przygotowanie do realizacji zadań na laboratorium39
55
wykłady
A-W-1Udział w wykładach8
A-W-2Przygotowanie do zaliczenia wykładu10
A-W-3Udział w konsultacjach2
20

Metody nauczania / narzędzia dydaktyczne

KODMetoda nauczania / narzędzie dydaktyczne
M-1wykład problemowy
M-2ćwiczenia laboratoryjne

Sposoby oceny

KODSposób oceny
S-1Ocena formująca: ocena wykonywanych zadań praktycznych
S-2Ocena formująca: zaliczenie pisemne

Zamierzone efekty uczenia się - wiedza

Zamierzone efekty uczenia sięOdniesienie do efektów kształcenia dla kierunku studiówOdniesienie do efektów zdefiniowanych dla obszaru kształceniaCel przedmiotuTreści programoweMetody nauczaniaSposób oceny
CB_10-_CYBSIEM_W01
zna elementy składowe tworzące środowisko systemów SIEM
CB_10-_W01, CB_10-_W08, CB_10-_W10C-1T-W-1, T-W-2, T-W-3, T-W-4, T-W-6, T-W-7, T-W-8, T-W-5M-1S-2

Zamierzone efekty uczenia się - umiejętności

Zamierzone efekty uczenia sięOdniesienie do efektów kształcenia dla kierunku studiówOdniesienie do efektów zdefiniowanych dla obszaru kształceniaCel przedmiotuTreści programoweMetody nauczaniaSposób oceny
CB_10-_CYBSIEM_U01
potrafi konfigurować środowisko systemów SIEM
CB_10-_U04, CB_10-_U09C-1T-L-1, T-L-2M-2S-1
CB_10-_CYBSIEM_U02
potrafi wykrywać ataki z wykorzystaniem narzędzi SIEM
CB_10-_U08C-1T-L-3, T-L-4, T-L-5M-2S-1
CB_10-_CYBSIEM_U03
potrafi zarządzać oraz klasyfikować zdarzenia (logi) pod kątem funkcjonowania bezpieczeństwa usług i danych w infrastrukturze IT
CB_10-_U03, CB_10-_U04, CB_10-_U09C-1T-L-6, T-L-7, T-L-8M-2S-1

Zamierzone efekty uczenia się - inne kompetencje społeczne i personalne

Zamierzone efekty uczenia sięOdniesienie do efektów kształcenia dla kierunku studiówOdniesienie do efektów zdefiniowanych dla obszaru kształceniaCel przedmiotuTreści programoweMetody nauczaniaSposób oceny
CB_10-_CYBSIEM_K01
jest gotów do wykonywania w sposób staranny i profesjonalny analizy bezpieczeństwa środowiska infrastruktury IT
CB_10-_K01C-1T-L-3, T-L-4, T-L-7, T-L-8M-2S-1

Kryterium oceny - wiedza

Efekt uczenia sięOcenaKryterium oceny
CB_10-_CYBSIEM_W01
zna elementy składowe tworzące środowisko systemów SIEM
2,0
3,0uzyskanie minimum 51% punktów z zaliczenia
3,5
4,0
4,5
5,0

Kryterium oceny - umiejętności

Efekt uczenia sięOcenaKryterium oceny
CB_10-_CYBSIEM_U01
potrafi konfigurować środowisko systemów SIEM
2,0
3,0poprawne wykonanie ponad 51% scenariuszy laboratoriów
3,5
4,0
4,5
5,0
CB_10-_CYBSIEM_U02
potrafi wykrywać ataki z wykorzystaniem narzędzi SIEM
2,0
3,0poprawne wykonanie ponad 51% scenariuszy laboratoriów
3,5
4,0
4,5
5,0
CB_10-_CYBSIEM_U03
potrafi zarządzać oraz klasyfikować zdarzenia (logi) pod kątem funkcjonowania bezpieczeństwa usług i danych w infrastrukturze IT
2,0
3,0poprawne wykonanie ponad 51% scenariuszy laboratoriów
3,5
4,0
4,5
5,0

Kryterium oceny - inne kompetencje społeczne i personalne

Efekt uczenia sięOcenaKryterium oceny
CB_10-_CYBSIEM_K01
jest gotów do wykonywania w sposób staranny i profesjonalny analizy bezpieczeństwa środowiska infrastruktury IT
2,0
3,0poprawne wykonanie ponad 51% scenariuszy laboratoriów
3,5
4,0
4,5
5,0

Literatura podstawowa

  1. D. Murdoch, Blue Team Handbook: SOC, SIEM, and Threat Hunting (V1.02): A Condensed Guide for the Security Operations Team and Threat Hunter, 2019
  2. A.E. Thomas, Security Operations Center - SIEM Use Cases and Cyber Threat Intelligence, 2018

Treści programowe - laboratoria

KODTreść programowaGodziny
T-L-1Konfiguracja środowiska Splunk Enterprise.2
T-L-2Zarządzanie oraz klasyfikacja logów/zdarzeń pod kątem bezpieczeństwa środowiska w warunkach codziennej pracy. Łączenie w ciąg przyczynowo skutkowy logów/zdarzeń i wykrywanie dzięki niemu ataków cybernetycznych.2
T-L-3Analiza incydentów bezpieczeństwa przy pomocy systemu SIEM.2
T-L-4Rozpoznawanie schematów działania jednostek atakujących infrastrukturę.2
T-L-5Rozpoznanie i ocena infrastruktury IT pod kątem metod ochrony przed atakami cybernetycznymi.2
T-L-6Poznanie popularnych metod ataków na infrastrukturę oraz sposobu ich wykrywania.2
T-L-7Weryfikacja ruchu sieciowego za pomocą kolektora logów Splunk2
T-L-8Szukanie anomalii oraz informacji związanych z infekcją złośliwym oprogramowaniem.2
16

Treści programowe - wykłady

KODTreść programowaGodziny
T-W-1Charakterystyka sieci IT i OT.1
T-W-2Log Management (LMS).1
T-W-3Security Information Management (SIM).1
T-W-4Security Event Management (SEM). a) Intrusion Detection Systems (IDS) - analiza ruchu sieciowego, analiza heurystyczna, analiza anomalii, analiza sygnaturowa, analiza pakietów w oparciu o zdefiniowane reguły, śledzenie pakietów w dłuższym okresie, dekodowanie protokołów warstw wyższych, analiza konfiguracji i aktywności aplikacji/ - Network Based - Intrusion Detection System (NIDS). - Host Based - Intrusion Detection System (HIDS). - Network Node - Intrusion Detection System (NNIDS). b) IPS (Intrusion Prevention Systems).1
T-W-5Firewall NGFW.1
T-W-6SIEM (Security Information and Event Management) - monitoring bezpieczeństwa sieci, analiza zachowań, zapobieganie utracie danych, bezpieczeństwo w chmurze, audyt katalogów, analiza zagrożeń, kompleksowe zarządzanie incydentami.1
T-W-7Środowisko Splunk Enterprise.1
T-W-8Model bezpieczeństwa "Zero Trust Security".1
8

Formy aktywności - laboratoria

KODForma aktywnościGodziny
A-L-1Udział w zajęciach laboratoryjnych16
A-L-2Przygotowanie do realizacji zadań na laboratorium39
55
(*) 1 punkt ECTS, odpowiada około 30 godzinom aktywności studenta

Formy aktywności - wykłady

KODForma aktywnościGodziny
A-W-1Udział w wykładach8
A-W-2Przygotowanie do zaliczenia wykładu10
A-W-3Udział w konsultacjach2
20
(*) 1 punkt ECTS, odpowiada około 30 godzinom aktywności studenta
PoleKODZnaczenie kodu
Zamierzone efekty uczenia sięCB_10-_CYBSIEM_W01zna elementy składowe tworzące środowisko systemów SIEM
Odniesienie do efektów kształcenia dla kierunku studiówCB_10-_W01zna pojęcia dotyczące bezpieczeństwa informacji (danych) oraz sieci komputerowychpojęcia dotyczące bezpieczeństwa informacji (danych) oraz sieci komputerowychpojęcia dotyczące bezpieczeństwa informacji (danych) oraz sieci komputerowych
CB_10-_W08zna zasady tworzenia i wykorzystania polityki bezpieczeństwa
CB_10-_W10zna wybrane narzędzia administratora systemów i sieci
Cel przedmiotuC-1Celem przedmiotu jest zdobycie podstawowych umiejętności wykorzystania narzędzi typu SIEM.
Treści programoweT-W-1Charakterystyka sieci IT i OT.
T-W-2Log Management (LMS).
T-W-3Security Information Management (SIM).
T-W-4Security Event Management (SEM). a) Intrusion Detection Systems (IDS) - analiza ruchu sieciowego, analiza heurystyczna, analiza anomalii, analiza sygnaturowa, analiza pakietów w oparciu o zdefiniowane reguły, śledzenie pakietów w dłuższym okresie, dekodowanie protokołów warstw wyższych, analiza konfiguracji i aktywności aplikacji/ - Network Based - Intrusion Detection System (NIDS). - Host Based - Intrusion Detection System (HIDS). - Network Node - Intrusion Detection System (NNIDS). b) IPS (Intrusion Prevention Systems).
T-W-6SIEM (Security Information and Event Management) - monitoring bezpieczeństwa sieci, analiza zachowań, zapobieganie utracie danych, bezpieczeństwo w chmurze, audyt katalogów, analiza zagrożeń, kompleksowe zarządzanie incydentami.
T-W-7Środowisko Splunk Enterprise.
T-W-8Model bezpieczeństwa "Zero Trust Security".
T-W-5Firewall NGFW.
Metody nauczaniaM-1wykład problemowy
Sposób ocenyS-2Ocena formująca: zaliczenie pisemne
Kryteria ocenyOcenaKryterium oceny
2,0
3,0uzyskanie minimum 51% punktów z zaliczenia
3,5
4,0
4,5
5,0
PoleKODZnaczenie kodu
Zamierzone efekty uczenia sięCB_10-_CYBSIEM_U01potrafi konfigurować środowisko systemów SIEM
Odniesienie do efektów kształcenia dla kierunku studiówCB_10-_U04potrafi skonfigurować wybrane usługi w systemach i sieciach
CB_10-_U09potrafi używać wybranych narzędzi administratora systemów i sieci
Cel przedmiotuC-1Celem przedmiotu jest zdobycie podstawowych umiejętności wykorzystania narzędzi typu SIEM.
Treści programoweT-L-1Konfiguracja środowiska Splunk Enterprise.
T-L-2Zarządzanie oraz klasyfikacja logów/zdarzeń pod kątem bezpieczeństwa środowiska w warunkach codziennej pracy. Łączenie w ciąg przyczynowo skutkowy logów/zdarzeń i wykrywanie dzięki niemu ataków cybernetycznych.
Metody nauczaniaM-2ćwiczenia laboratoryjne
Sposób ocenyS-1Ocena formująca: ocena wykonywanych zadań praktycznych
Kryteria ocenyOcenaKryterium oceny
2,0
3,0poprawne wykonanie ponad 51% scenariuszy laboratoriów
3,5
4,0
4,5
5,0
PoleKODZnaczenie kodu
Zamierzone efekty uczenia sięCB_10-_CYBSIEM_U02potrafi wykrywać ataki z wykorzystaniem narzędzi SIEM
Odniesienie do efektów kształcenia dla kierunku studiówCB_10-_U08potrafi wykrywać popularne ataki na systemy i sieci oraz odpowiednio zareagować na zaistniały incydent
Cel przedmiotuC-1Celem przedmiotu jest zdobycie podstawowych umiejętności wykorzystania narzędzi typu SIEM.
Treści programoweT-L-3Analiza incydentów bezpieczeństwa przy pomocy systemu SIEM.
T-L-4Rozpoznawanie schematów działania jednostek atakujących infrastrukturę.
T-L-5Rozpoznanie i ocena infrastruktury IT pod kątem metod ochrony przed atakami cybernetycznymi.
Metody nauczaniaM-2ćwiczenia laboratoryjne
Sposób ocenyS-1Ocena formująca: ocena wykonywanych zadań praktycznych
Kryteria ocenyOcenaKryterium oceny
2,0
3,0poprawne wykonanie ponad 51% scenariuszy laboratoriów
3,5
4,0
4,5
5,0
PoleKODZnaczenie kodu
Zamierzone efekty uczenia sięCB_10-_CYBSIEM_U03potrafi zarządzać oraz klasyfikować zdarzenia (logi) pod kątem funkcjonowania bezpieczeństwa usług i danych w infrastrukturze IT
Odniesienie do efektów kształcenia dla kierunku studiówCB_10-_U03potrafi przeprowadzić analizę ruchu w sieciach
CB_10-_U04potrafi skonfigurować wybrane usługi w systemach i sieciach
CB_10-_U09potrafi używać wybranych narzędzi administratora systemów i sieci
Cel przedmiotuC-1Celem przedmiotu jest zdobycie podstawowych umiejętności wykorzystania narzędzi typu SIEM.
Treści programoweT-L-6Poznanie popularnych metod ataków na infrastrukturę oraz sposobu ich wykrywania.
T-L-7Weryfikacja ruchu sieciowego za pomocą kolektora logów Splunk
T-L-8Szukanie anomalii oraz informacji związanych z infekcją złośliwym oprogramowaniem.
Metody nauczaniaM-2ćwiczenia laboratoryjne
Sposób ocenyS-1Ocena formująca: ocena wykonywanych zadań praktycznych
Kryteria ocenyOcenaKryterium oceny
2,0
3,0poprawne wykonanie ponad 51% scenariuszy laboratoriów
3,5
4,0
4,5
5,0
PoleKODZnaczenie kodu
Zamierzone efekty uczenia sięCB_10-_CYBSIEM_K01jest gotów do wykonywania w sposób staranny i profesjonalny analizy bezpieczeństwa środowiska infrastruktury IT
Odniesienie do efektów kształcenia dla kierunku studiówCB_10-_K01kierowania się w swojej pracy profesjonalizmem i etyką zawodową
Cel przedmiotuC-1Celem przedmiotu jest zdobycie podstawowych umiejętności wykorzystania narzędzi typu SIEM.
Treści programoweT-L-3Analiza incydentów bezpieczeństwa przy pomocy systemu SIEM.
T-L-4Rozpoznawanie schematów działania jednostek atakujących infrastrukturę.
T-L-7Weryfikacja ruchu sieciowego za pomocą kolektora logów Splunk
T-L-8Szukanie anomalii oraz informacji związanych z infekcją złośliwym oprogramowaniem.
Metody nauczaniaM-2ćwiczenia laboratoryjne
Sposób ocenyS-1Ocena formująca: ocena wykonywanych zadań praktycznych
Kryteria ocenyOcenaKryterium oceny
2,0
3,0poprawne wykonanie ponad 51% scenariuszy laboratoriów
3,5
4,0
4,5
5,0