Seminar / Training
Überblick
Dieses Seminar behandelt die saubere Übergabe von osquery-Daten an Security-, Monitoring- und Automatisierungsplattformen. Im Vordergrund stehen Datenqualität, Ereignisstruktur, Use-Case-Design, Filterung, Normalisierung und betriebliche Verantwortlichkeiten.
Es wird gezeigt, wie Abfrageergebnisse so gestaltet werden, dass sie in SIEM-Regeln, Dashboards, Alarmierungen und Automatisierungen belastbar nutzbar sind. Dazu gehören Feldnamen, Kontextinformationen, Schweregrade, Kontrollintervalle und Fehlalarmreduktion.
Drei Tage sind erforderlich, weil die reine Log-Ausgabe nicht genügt. Datenmodellierung, Use Cases, Normalisierung, Testdaten und Betriebsübergabe müssen zusammen bearbeitet werden.
Für wen dieses Seminar geeignet ist
- SOC-Teams, die osquery-Ergebnisse für Detektion und Investigation nutzen wollen
- SIEM-Administratoren, die strukturierte Endpoint-Daten anbinden müssen
- Security Engineers, die Use Cases von der Query bis zur Alarmierung bauen
- Automatisierungsteams, die osquery-Daten als Auslöser oder Kontext verwenden
Voraussetzungen
Grundlagen in osquery oder vergleichbare Erfahrung mit Endpoint-Daten. Zusätzlich werden Kenntnisse in Logging, SIEM-Grundkonzepten und JSON- oder strukturierter Datenverarbeitung empfohlen.
Seminarinhalte
Datenfluss und Architektur
- Result Logs, Status Logs und Ereignisformate unterscheiden
- Datenwege vom Endpoint bis zur Auswerteplattform planen
- Feldmodell, Host-Kontext und Query-Metadaten definieren
- Datenvolumen und Abfragefrequenz auf SIEM-Kosten und Performance abstimmen
Use-Case-Design
- Security-Fragestellungen in Query- und Alarmierungslogik übersetzen
- Detektionsregeln für Prozesse, Netzwerk, Persistenz und Konfigurationsabweichungen vorbereiten
- Schweregrad, Kontext und Eskalationslogik festlegen
- Testdaten und Kontrollfälle für robuste Use Cases erzeugen
Normalisierung und Qualitätssicherung
- Feldnamen und Datentypen konsistent halten
- Rauschen, Dubletten und erwartete Zustände reduzieren
- Betriebssystemunterschiede in Regeln berücksichtigen
- Query-Versionen, Regelversionen und Änderungsnachweise koppeln
Automatisierung und Betrieb
- Automatisierte Folgeaktionen mit klaren Sicherheitsgrenzen bewerten
- Runbooks für typische osquery-basierte Alarme erstellen
- Monitoring des Datenflusses und der Agentengesundheit integrieren
- Übergabe an SOC, Betrieb und Change Management vorbereiten
Praktische Übungen
- Entwurf eines Datenmodells für osquery-Ergebnisse im SIEM
- Erstellen mehrerer Queries für konkrete SOC Use Cases
- Normalisierung von Beispiel-Logs und Ableitung von Alarmfeldern
- Reduktion von Fehlalarmen durch Filter, Kontext und Ausnahmen
- Erstellung eines Runbooks für einen osquery-basierten Security-Alarm
Arbeitsumgebung
Die Übungen verwenden osquery-Beispieldaten, strukturierte Log-Ausgaben und eine simulierte Auswerteumgebung. Dadurch können Datenmodell, Use Cases und Alarmierungslogik ohne produktive Systeme getestet werden.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de -
Paul Goldschmidt
Telefon: + 49 (221) 74740055
E-Mail: paul.goldschmidt@seminar-experts.de
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich oder Live Stream: € 1.797 zzgl. MwSt. Inhaus: € 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Security Engineers, SOC Engineers, SIEM-Administratoren, Plattformteams, Automatisierungsverantwortliche |
| Voraussetzungen: | Grundlagen in osquery oder vergleichbare Erfahrung mit Endpoint-Daten. Zusätzlich werden Kenntnisse in Logging, SIEM-Grundkonzepten und JSON- oder strukturierter Datenverarbeitung empfohlen. |
| Standorte: | Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 49 (221) 74740055 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
