Seminar / Training
Inhaltsverzeichnis
- Seminarprofil
- Lernziele
- Inhalte
- Praxisübungen
- Zielgruppe
- Voraussetzungen
Seminarprofil
Dieses Seminar vertieft die Erstellung und Anpassung von Erkennungslogik in CrowdSec. Es behandelt die Verarbeitungspipeline von Rohlogs über Parser und Enricher bis zu Szenarien, Kontextdaten und Tests. Die Teilnehmenden lernen, vorhandenen Hub-Content zu verstehen, eigene Anforderungen sauber umzusetzen und Änderungen reproduzierbar zu prüfen.
Die Dauer von 3 Tagen ist erforderlich, weil Detection Engineering Lesen, Schreiben, Testen und Bewerten von Erkennungslogik umfasst. Kürzere Formate reichen für eigene Parser, Szenarien und Qualitätsprüfung meist nur als Überblick.
Lernziele
- CrowdSec-Pipeline von Akquisition bis Alert technisch nachvollziehen
- Parser- und Szenario-Logik lesen, anpassen und erstellen
- Kontextdaten für Alerts gezielt erweitern
- Allowlisten und Ausnahmen kontrolliert einsetzen
- eigene Detection-Änderungen testen und versionieren
- Fehlalarme und Erkennungslücken systematisch analysieren
Inhalte
Pipeline und Datenmodell
- Event-Fluss durch Raw-, Parse- und Enrich-Stufen
- Felder, Metadaten und Normalisierung
- Zusammenspiel von Parsern, Enrichern und Szenarien
- Einfluss von Labels und Logquellentypen
Parser-Entwicklung
- Struktur von Parser-Dateien
- Extraktion relevanter Felder aus Logzeilen
- Grok- und Ausdruckslogik im Praxisbezug
- Debugging mit erklärenden cscli-Funktionen
Szenarien und Korrelation
- Leaky-Bucket- und Schwellenwertlogik
- Gruppierung, Filter und Blackhole-Zeiten
- typische Muster wie Brute Force, Enumeration und Scanverhalten
- Entscheidungswirkung über Profiles
Kontext und Ausnahmen
- Alert Context für Analyse und Console-Sichtbarkeit
- Allowlisten für interne Systeme und legitime Scanner
- Trennung von Ausnahme, Simulation und echter Deaktivierung
- Dokumentationsstandard für Detection-Änderungen
Tests und Qualitätssicherung
- Testdaten und Replay-Ansätze
- Hubtest-Grundmuster
- Versionsverwaltung und Review-Prozess
- Abnahme vor produktiver Aktivierung
Praxisübungen
- Analyse einer vorhandenen Collection und ihrer Parser/Szenarien
- Erstellung eines einfachen Parsers für ein benutzerdefiniertes Logformat
- Entwicklung eines Szenarios für wiederholte Fehlereignisse
- Erweiterung des Alert Context um relevante Felder
- Einrichtung einer Allowlist für definierte interne Systeme
- Testlauf mit Beispielereignissen und Dokumentation der Erkennungslogik
Zielgruppe
Das Seminar richtet sich an technische Teams, die CrowdSec über Standard-Collections hinaus an eigene Anwendungen, Dienste oder spezielle Betriebsanforderungen anpassen müssen.
Voraussetzungen
Erfahrung mit Loganalyse, YAML-Grundkenntnisse, sichere Shell-Nutzung und CrowdSec-Grundverständnis
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -
Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.797 zzgl. MwSt. Inhaus: CHF 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Security Engineers, SOC-Analysten, Detection Engineers, Linux- und Plattformadministratoren |
| Voraussetzungen: | Erfahrung mit Loganalyse, YAML-Grundkenntnisse, sichere Shell-Nutzung und CrowdSec-Grundverständnis |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
