Seminar / Training Threat Hunting & Analytics: Event Search, DQL, Dashboards
Inhaltsverzeichnis
- Abstract
- Zielgruppe
- Voraussetzungen
- Lernziele
- Inhalte und Ablauf
- Praxis
Abstract
Das Seminar verbindet Analysefähigkeiten in SIEMonster mit methodischem Threat Hunting. Behandelt werden Event Search, DQL-basierte Filterung, Visualisierungen und Dashboards sowie Vorgehensmodelle für hypothesis-driven Hunting. Ergebnis sind wiederverwendbare Hunting-Boards, gespeicherte Suchbausteine und ein Prozess, der Hunts in robuste Detektionen überführt.
Zielgruppe
Threat Hunter, SOC-Analysten (Level SIEMonster Implementierung: Deployment, Architektur, Hybrid-Anbindung/SIEMonster Log-Onboarding & Ingestion: Hydra, Syslog, API-Quellen), Detection Engineers (Analyseanteil), Incident-Responder.
Voraussetzungen
SIEMonster Essentials: Plattform, UI, SOC-Grundlagen empfohlen. Grundkenntnisse Angriffswege (Credential Abuse, Lateral Movement, Exfiltration).
Lernziele
- DQL-gestützte Analysen effizient durchführen
- Visualisierungen und Dashboards für Hunting bauen
- Hunting-Ergebnisse in Detektionen und Playbooks überführen
Inhalte und Ablauf
- Tag 1: Event Search & DQL
- Feldmodell: Felder, Datentypen, Top Values
- Filterdesign: positiv/negativ, Exists-Filter, Zeitfenster
- DQL-Grundmuster: Kombinationen, Klammerung, Präzision
- Saved Searches: Bausteine für wiederholbare Analysen
- Performance- und Datenqualitätsindikatoren
- Tag 2: Visualisieren und Dashboarding
- Visualisierungstypen und Aggregationen
- Aufbau operativer Dashboards (SOC, Use-Case, Risiko)
- Multi-Tenant-Boards und Rollenansichten
- Drill-down: Von KPI zu Rohdaten
- Export-/Sharing-Strategie innerhalb der Organisation
- Tag 3: Hunting-Methodik
- Hypothesen und Datenanforderungen
- Hunt-Pfade: Auth, Endpoint, Network, Cloud
- Evidence Capture: Queries, Screens, Artefakte, Timestamps
- Übergang: Hunt → Detection Rule → IR-Kriterien
- Metrics: Coverage, Hit-Rate, Dwell-Time Einfluss
Praxis
- Query-Bibliothek erstellen
- Basisquery für Authentifizierung erstellen
- Rauschen reduzieren (Service-Accounts, bekannte Admins)
- Zeitfenster anpassen und Histogramm interpretieren
- Saved Search speichern
- Wiederverwendung für Dashboard vorbereiten
- Hunting-Dashboard
- Visualisierung für Anmeldeanomalien bauen
- Split nach User/Host/IP ergänzen
- Drill-down Link zur Rohdatensuche festlegen
- Dashboard als „Hunt Pack“ speichern
- Dokumentation der Fragestellungen hinzufügen
- Hunt zu Detektion
- Hunt-Ergebnis definieren (Trigger-Logik)
- Schwellwerte bestimmen
- Regelentwurf skizzieren (Inputs, Tags, Observables)
- IR-Kriterien festlegen
- Übergabe an Detection Engineering vorbereiten
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de -
Paul Goldschmidt
Telefon: + 49 (221) 74740055
E-Mail: paul.goldschmidt@seminar-experts.de
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich oder Live Stream: € 1.797 zzgl. MwSt. Inhaus: € 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Threat Hunter, SOC-Analysten (Level SIEMonster Implementierung: Deployment, Architektur, Hybrid-Anbindung/SIEMonster Log-Onboarding & Ingestion: Hydra, Syslog, API-Quellen), Detection Engineers (Analyseanteil), Incident-Responder |
| Voraussetzungen: | SIEMonster Essentials: Plattform, UI, SOC-Grundlagen empfohlen. Grundkenntnisse Angriffswege (Credential Abuse, Lateral Movement, Exfiltration) |
| Standorte: | Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 49 (221) 74740055 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
