IBM Qradar SIEM: van beginner tot geavanceerd Training Cursus

Module 1: SIEM/Grondslagen, Architectuur en Ecosysteemoverzicht

Stelt een uitgebreid begrip in van de grondslagen van SIEM (Security Information and Event Management), de architectuur van het IBM QRadar-platform, integratie in het ecosysteem en het bredere landschap van security analytics, inclusief XDR, SOAR en platforms voor threat intelligence.

1.1 Security Analytics en SIEM-grondslagen

• Het SIEM-landschap: evolutie van logbeheer naar security analytics
• SIEM vs. SOAR vs. XDR: het samenvallen van securitytools begrijpen
• Kernonderdelen van SIEM: logverzameling, normalisatie, correlatie en alerting
• Het workflow van de SOC-analist: detectie, triage, onderzoek en respons
• Overzicht van het MITRE ATT&CK-framework en de rol ervan in SIEM-mapping

1.2 Architectuur van IBM QRadar-platform

• QRAR on-premises architectuur: Event Processor, Log Manager, Console en Flow Processor
• QRadar op Cloud: multi-tenant architectuur, ingestie-modellen en schaalbaarheid
• QRadar Hybrid Cloud-deployments: combinatie van on-premise- en cloudmogelijkheden
• Deploymentopties: Virtual Appliances, Hardware Appliances en SaaS
• Hoge beschikbaarheid (HA) en configuraties met Active-Passive versus Active-Active

1.3 QRadar-onderdelen en navigatie in de Console

• IBM QRadar Console: overzicht van de interface, werkruimten, dashboards en navigatie
• Aanvullende Apps, het QRadar App Framework en IBM App Exchange
• Context Explorer, Risk Analyzer en integratie van threat intelligence
• Data model: Hosts, Apparaten, protocollen en categorieën in QRadar

1.4 Het QRadar-ecosysteem

• IBM QRadar SOAR: integratie van security orchestratie en geautomatiseerde respons
• IBM QRadar EDR: integratie van endpointdetectie en -respons
• Integratie van threat intelligence (VTI-feeds, aangepaste threat feeds)
• Integratie met SIEM-tools: Splunk, Elastic SIEM, IBM QRadar (beheer van logbronnen)

1.5 Integratie met het IBM Security Suite

• QRadar SOAR-integratie voor automatisering en playbook-orchestratie
• QRadar EDR-integratie voor endpoint-telemetrie
• QRadar VTI (Vulnerability and Threat Intelligence)-integratie
• QRadar App Exchange-apps en add-ons
• QRadar Network Integration Platform (NFI)-integratie

Aan de markt aangepaste competenties: SIEM-grondslagen, Security Information and Event Management, Architectuur van het IBM QRadar-platform, On-prem-deployments van QRAR, Cloud-architectuur van QRAR, Hybrid Cloud-security, SOC-operaties en SIEM, Security Analytics, XDR-integratie, SOAR-platformintegratie, Threat Intelligence Platform (TIP), MITRE ATT&CK-framework mapping, Convergentie van securitytools, Enterprise security architectuur, Logbeheer en analytics, Schaalbaarheid en capaciteitsplanning voor SIEM, Configuratie van hoge beschikbaarheid (HA), Navigatie en configuratie van de QRadar Console

Module 2: Beheer van logbronnen, data-ingestie en normalisatie

Gedetailleerde verkenning van logbronconfiguratie, strategieën voor dataverzameling, lognormalisatie en protocollen die essentieel zijn voor het realiseren van security-inzicht in de hele onderneming over on-premise-, cloud- en hybride omgevingen.

2.1 Logbronconfiguratie en protocollen

• Methodes voor logverzameling: Syslog (RSYSLOG), netwerkverbindingen (CEF), Common Event Format (CEF) en QRadar Common Event Format (CEF)
• CEF-protocol: header, extensienamen, aangepaste extensies en CEF-naar-CEF-mapping
• Netwerkgebaseerde logverzameling: NetFlow v5/v9, IPFIX (sFlow)
• Agentgebaseerde verzameling (IBM QRadar Agent) voor endpoint-inzicht
• Configuratie van Active Directory-, DNS-, DHCP-, HTTP-, SMTP- en database-logbronnen
• Best practices voor logbrondeployments: bronnen met hoge doorvoer, compressie en versleuteling

2.2 Data-ingestie en capaciteitsplanning

• Vereenvoudiging van het dagelijkse logbestandvolume (GLP) en de capaciteit voor dagelijkse eventdata-ingestie
• Dataretentiebeleid en compliance-gedreven retentiebeheer
• Prioritering van logbronnen en eventfiltering om kosten te beheersen
• Capaciteitsplanning voor enterprise-scale SIEM-deployments
• Groefberekeningen en prestatieoptimatie voor omgevingen op grote schaal

2.3 Lognormalisatie en classificatie

• Het QRAR Normalization Engine: native logformaten mappen naar protocol in QRAR
• Log Source Property Manager en protocol mapping
• Aanmaken van aangepaste logbronnen voor propriëtariële logs
• Mapping van events, flows en logbronnen
• Normalisatieregels en oplossen van problemen bij het parsen

Aan de markt aangepaste competenties: Beheer van logbronnen, Syslog-configuratie, CEF-protocol, Netwerkverbindingen (CEF), Deployments van QRAR Agent, Verzameling van Active Directory-logs, Verzameling van DNS- en DHCP-logs, HTTP/S- en SMTP-logverzameling, Integratie van database-logbronnen (CEF), NetFlow- en IPFIX-verzameling, SIEM-deployments zonder agent, Strategie voor enterprise-logverzameling, Lognormalisatie, Protocol mapping, Configuratie van aangepaste logbronnen, Eventparsing en classificatie, Schatting van het dagelijkse logvolume (DLV), Capaciteitsplanning voor SIEM, Prestatietuning voor SIEM op grote schaal, Compliance-gedreven dataretentie

Module 3: Detectie, correlatie en ontwikkeling van regels

Het kerngedeelte van SIEM-operaties: het bouwen, testen en beheren van detectieregels, van eenvoudige eventregels tot complexe samengestelde correlatieregels die aanvallen, anomalieën en beleidsverstoringen identificeren.

Het kerngedeelte van SIEM-operaties: het bouwen, testen en beheren van detectieregels, van eenvoudige eventregels tot complexe samengestelde correlatieregels die aanvallen, anomalieën en beleidsverstoringen identificeren.

3.1 Eventregels en aggregatieregels

• Eventregels: filteren, velden extraheren en aangepaste attributen aanmaken vanuit raw events
• Aggregatieregels: het tellen en groeperen van events op IP, protocol, gebruiker, enz.
• Acties van aggregatieregels: notificaties, drempelwaarden voor tellingen en aangepaste eigenschappen
• Regelactivering, volgorde van regels en de logica van regeluitvoering

3.2 Samengestelde correlatieregels

• Het bouwen van samengestelde correlatieregels: data uit meerdere bronnen combineren
• Regeltypen: event, aggregatie en samengestelde correlatie
• Onderdelen van samengestelde regels: triggers, aggregaties, correlaties en acties
• Correlatielogica: temporale correlatie, drempelcorrelatie en contextuele correlatie
• Eigenschappen van voorspellings- en correlatieregels: vertrouwenivols, ernst en escalatie
• Het schrijven van effectieve correlatieregels: alertmoeheid voorkomen en signaalkwaliteit waarborgen

3.3 Detectieregels voor MITRE ATT&CK-technieken

• Regels die zijn gemapt op MITRE ATT&ACK-technieken: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control (C2), Exfiltratie
• Aangepaste detecties voor specifieke aanvalcategorieën:
• Regels voor: Brute Force, Port Scanning, malwarecommunicatie, Insider Threat, Lateral Movement, Privilege Escalation, Datamining, Command-and-Control (C2)
• Regels voor: Brute-Force-verificatiefouten, Port Scanning, SQL-injectie, DNS-tunneling, Privilege Escalation, Lateral Movement via Pass-the-Hash

3.4 Threat Hunting met QRAR-regels

• Proactieve methode voor threat hunting met behulp van QRAR
• Het bouwen van regels voor detectie van onbekende/zero-day-dreigingen
• Regels voor gedragsanalyse en detectie van afwijkingen van de baseline

Aan de markt aangepaste competenties: Ontwikkeling van eventregels, Aanmaken van aggregatieregels, Ontwikkeling van samengestelde correlatieregels, Ontwerp van aangepaste correlatieregels, Mapping op MITRE ATT&ACK, Engineering van dreigingsdetectie, Mappen van aanvalstechnieken (Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltratie), Detectie van malwarecommunicatie, Detectie van SQL-injectie, Detectie van DNS-tunneling, Regel voor privilege escalatie, Detectie van brute force, Detectie van lateral movement, Detectie van insider threats, Detectie van data-exfiltratie, Detectie van command-and-control (C2), Beheer van alertmoeheid, Tuning en optimalisatie van regels, Engineering van SOC-detectieregels, Proactieve threat hunting

Module 4: QRAR Offense Engine en incidentonderzoek

Dekker de QRAR offense engine in diepte: het aanmaken van offenses, workflows voor onderzoek, contextanalyse, beheer van false positives, triage en afhandeling van incidenten.

4.1 De Offense Engine

• Aanmaken, aggregatie en levenscyclusbeheer van offenses
• Eigenschappen van een offense: ernst, vertrouwen, status en attribution
• Aggregatielogica van offenses: gerelateerde events groeperen tot betekenisvolle incidenten
• Escalatie, toewijzing en workflowbeheer van offenses

4.2 Incidentonderzoek en contextanalyse

• Context Explorer voor diepgaande eventanalyse en reconstructie van de tijdlijn
• Analyse van de event-tijdlijn: chronologische reconstructie van security-incidenten
• IP-adresanalyse en enrichement met reputatie (Threat Intel)
• Gebruikers- en assetcontext: gebruikersactiviteit, host-inventaris en risicoanalyse van assets
• Correlatie-events in de weerergave van offenses en eventdetails
• Eventcorrelatie, het groeperen van events en het verzamelen van bewijs

4.3 Integratie van threat intelligence

• Integreren van Vulnerability and Threat Intelligence (VTI)-feeds
• Geautomatiseerde enrichement van threat intelligence met IBM QRAR VTI
• Uploaden van aangepaste threat feeds en profielen van threat actors
• Context van threat intelligence in offenses en risicoanalyse

4.4 Beheer van false positives en regelontwerp

• Het identificeren en classificeren van false positives in de Offense Engine
• Regels voor het onderdrukken van false positives en workflows voor onderdrukking
• Regelontwerp: verminderen van ruis terwijl de detectiegevoeligheid behouden blijft
• Dokumenteren van incidenten met false positives voor continue verbetering

Aan de markt aangepaste competenties: Beheer van de QRAR Offense Engine, Onderzoek en analyse van incidenten, Onderzoek naar dreigingen, Gebruik van Context Explorer, Analyse van event-tijdlijnen, Analyse van IP-reputatie, Risicoanalyse van assets, Enrichement van threat intelligence, Integreren van VTI-feeds, Beheer van false positives, Tuning van alerts en verminderen van ruis, SOC-workflow voor incidentrespons, Levenscyclus van security-incidenten, Analyse van indicatoren van compromissing, Cybervrije attributie

Module 5: QRAR Vulnerability Management (QVM) en Risk Manager (QRM)

Gedetailleerde verkenning van IBM QVM: integratie van vulnerability scanning, risico-gedreven prioritering van kwetsbaarheden, configuratie van risicobeheer en risicogestuurde beoordeling van de security positie.

5.1 IBM QRAR Vulnerability Manager (QVM)

• QVM-architectuur: integratie met Nessus, Qualys en Rapid7-scanners
• Workflows voor vulnerability scanning en planning van scans
• Parsing van resultaten van vulnerability assessment en integratie in QRAR
• Correlatie van CVSS-scores en classificatie van de ernst van kwetsbaarheden
• Analyse van vulnerabilitytrends en prioritering van remediatie

5.2 IBM QRAR Risk Manager (QRM)

• QRM-architectuur: engine voor risicoberekening en methodologie voor het berekenen van risico-scores
• Configuratie van risicoregels: assetkriticiteit, kans op exploitatie van kwetsbaarheden, risico-profielen van assets
• Berekening van de risicoscore: combineren van data over kwetsbaarheden, threat intelligence, offense-data en assetwaarde
• Ranking van assets op basis van risico en configuratie van het risk dashboard
• Prioritering van assets op basis van risico en prioritering van remediatie op basis van risico

Aan de markt aangepaste competenties: Assessment en beheer van kwetsbaarheden, IBM QRAR Vulnerability Manager (QVM), Correlatie van CVE-scores, Integratie van vulnerability scanning, Integratie van Qualys/Nessus, Risico-gedreven prioritering van kwetsbaarheden, IBM QRAR Risk Manager (QRM), Berekening van de risicoscore, Beoordeling van assetkriticiteit, Remediatie op basis van risico, Configuratie van het risk dashboard, Analyse van vulnerabilitytrends, Enterprise Vulnerability Management, Enterprise riskassessment en -beheer

Module 6: QRAR SOAR, automatisering en incidentrespons

Dekker IBM QRAR SOAR (Security Orchestration, Automation and Response), playbook-orchestratie, runbook-automatisering en automatische incidentrespons die essentieel zijn voor moderne SOC-operaties.

6.1 Overzicht van IBM QRAR SOAR

• Security orchestratie en geautomatiseerde respons: definitie en waarde
• QRAR SOAR-architectuur en -onderdelen: playbooks, incidenten, automatiseringsacties en data-acties
• QRAR SOAR-integratie: verbinden van SIEM, EDR, threat intelligence en ticketingsystemen (ServiceNow, Jira)
• SOAR versus traditionele automatisering: playbook-gedreven workflow-orchestratie

6.2 Ontwerp en uitvoering van playbooks

• Aanmaken van een playbook: het bouwen van workflows voor automatisch onderzoek en respons
• Playbooktriggers: aanmaken van offense, regeltriggers en handmatige activatie
• Playbookacties: IP-adressen enricheren, IPs blokkeren, tickets aanmaken, query op threat feeds uitvoeren
• Voorwaarden en taklogica voor playbooks

6.3 Automatisering van incidentrespons

• Automatisering van incidentrespons: van alert tot containment in minuten
• Geautomatiseerde threat hunting: playbook-gedreven dreigingsonderzoek
• Automatisering van incidentcontainment: blokkeren van IP-adressen, isoleren van endpoints en opschorten van accounts
• Geautomatiseerde incidentresponse-workflows voor ransomware, phishing, brute-force-aanvallen en insider threats

6.4 Integratie met externe systemen

• QRAR SOAR-integraties met ServiceNow, Jira, Slack, e-mail en webhook-gebaseerde systemen
• Aangepaste API-integratie met platforms voor threat intelligence
• EDR-integratie voor geautomatiseerde endpointacties
• Automatisering van payloadanalyse (bestanden, URL's, domeinen)

Aan de markt aangepaste competenties: Security orchestratie, AI-automatisering en -respons (SOAR), IBM QRAR SOAR, Automatisering van playbooks, Ontwerp van runbooks, Orchestrate van workflows voor geautomatiseerde incidentrespons, API-gedreven securityautomatisering, Integratie van threat intelligence, Automatisering van incidentcontainment, Automatische analyse van dreigingen, Integratie van ServiceNow voor security, Automatisering van ticketingsystemen, Automatisering van endpointrespons, Automatiseren van IP-blacklisting, Automatisering van phishingresponse, Automatisering van ransomware-response

Module 7: QRAR Forensics, Network Forensics en dataanalyse

Dekker QRAR Incident Forensics (QRIF) en mogelijkheden voor forensisch onderzoek, network forensics (NFI) voor analyse van packetcaptures en forensische analysetechnieken die worden gebruikt in incidentonderzoek.

7.1 IBM QRAR Forensics (QRIF)

• QRIF: het verzamelen en opslaan van forensische data voor onderzoeken
• Forensische datbronnen: packetcaptures, eventlogs en endpointforensics
• Forensische analyse: reconstructie van de tijdlijn, bestandsanalyse en netwerkforensieke analyse
• Bewaring van forensisch bewijs en chain-of-custody
• Forensische analysietools en -technieken binnen QRIF

7.2 Network Forensics en inspectie (NFI)

• Network forensics: analyse van packetcaptures en inspectie van netwerkverkeer
• Analyse van flowdata: NetFlow, sFlow en IPFIX in QRAR Network forensics
• Protocolanalyse: HTTP, DNS, SMTP, SSH, FTP en inspectie van aangepaste protocollen
• Dreigingsdetectie via network forensics: C2-beaconing, data-exfiltratie en detectie van lateral movement
• Identificeren van verdachte verkeerspatronen

7.3 User and Entity Behavior Analytics (UEBA)

• UEBA: het begrijpen van de baseline van gebruikersgedrag en detectie van anomalieën
• UEBA-datbronnen: Active Directory, proxylogs, endpointlogs, DLP-logs, authenticatielogs, cloudlogs
• UEBA-scoreberekening: risicoscores voor gebruikers en entiteiten
• Dreigingsdetectie op basis van UEBA: gecompromitteerde accounts, insider threats en data-exfiltratie

Aan de markt aangepaste competenties: QRAR Incident Forensics (QRIF), Verzamelen van forensische data, Onderzoek en analyse van forensisch bewijs, Network forensics, Analyse van packetcaptures, Analyze van flowdata, Dreigingsdetectie via network forensics, User and Entity Behavior Analytics (UEBA), Detectie van gebruikersanomalieën, Detectie van insider threats, Detectie van gecompromitteerde accounts, Data-exfiltratie via gebruikersgedrag, Detectie van C2-beaconing, Lateral movement via network forensics, Digital Forensics and Incident Response (DFIR), Bewaring van bewijs en chain of custody, Protocolanalyse, Forensisch onderzoek van securitylogs, Threat hunting via network analytics

Module 8: Cloud SIEM, SIEM-as-Code, compliance en SIEM-operaties

Evalueert IBM QRAR-operaties, schalen, compliance-rapportage, cloud-SIEM-integratie, detection-as-code-practices en SOC-governance die essentieel zijn voor enterprise-scale SIEM-deployments.

8.1 QRAR-operaties en administratie

• Het beheren van QRAR: gebruikersrollen, machtigingen en securitybeleid
• Auditen van QRAR-configuraties en accesslogs
• Geplande rapporten en het ontwerpen van aangepaste rapporten voor management en compliance
• Geplande taken: back-up/herstel, databaseopruiming en onderhoud
• Syslog-serverconfiguratie voor SIEM-logforwarding
• Software-updates en patchbeheer voor QRAR appliances

8.2 Compliance-rapportage en regelgeving mapping

• PCI DSS SIEM-eisen en compliance-rapportage in QRAR
• HIPAA, GDPR, SOX, NIST CSF en ISO 27001-compliance mapping met QRAR-rapporten
• Regelgeving-auditrapportage: aangepaste rapporttemplates voor PCI DSS- en HIPAA-auditors
• Real-time compliance monitoring en dashboards voor continue compliance

8.3 SIEM-as-Code en Infrastructure as Code

• Versiegebaseerd beheer van SIEM-regels: Git-gebaseerde regeldeployment
• Terraform en Ansible voor het provisionen en configureren van QRAR appliances
• CI/CD-pipeline voor SIEM-regels en playbooks
• API-gedreven automatisering in QRAR voor de deployment en het beheren van regels

8.4 Cloud SIEM en Hybrid Cloud Security

• Integratie van cloud-logbronnen: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor
• Cloud-native SIEM-strategieën: SIEM voor SaaS-omgevingen (AWS, Azure, GCP, Office 365, AWS)
• Integraties van cloud-native SIEM: Microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs, Google Cloud Logging
• Monitoring van cloud-identiteit en -toegang: IAM, Active Directory, Entra ID
• Cloud workload protection en integratie met SIEM

8.5 Detectie van identiteitsdreigingen

• Identiteit als de nieuwe dreigingsgrens: detectie van account compromissing
• Detectie van dreigingen in Active Directory: Kerberoasting, AS-REP roasting, Golden/Sid ticket aanvallen
• Detectie van multi-factor authentication (MFA)-omzeiling
• Monitoring van Privileged Identity Management (PIM)

8.6 Zero Trust Monitoring

• Monitoring van Zero Trust-architectuur: identiteit, apparaten en netwerkcontroles
• Monitoring van microsegmentatie en validatie van policy enforcement
• Zero Trust compliance-rapportage via SIEM-integratie

8.7 SOC-operaties en SIEM-governance

• SOC-metrieken en KPI's: MTTR (Mean Time to Respond), MTTD voor SIEM-monitoring
• SOC maturity assessment en SIEM-gedreven verbetering van SOC
• SIEM-governance: beheer van regels, tracking van false positives en continue verbetering
• Best practices voor SIEM-operaties: monitoring, alerting en escalatieprocedures

Aan de markt aangepaste competenties: QRAR-administratie, SIEM-operaties en -beheer, SIEM-compliance management, PCI DSS SIEM compliance rapportage, HIPAA en GDPR SIEM compliance, SOX en ISO 27001 SIEM compliance, NIST CSF SIEM mapping, Continue compliance monitoring, Aangepaste compliance-rapportage, SIEM-as-Code en Infrastructure as Code, Terraform voor SIEM, Ansible voor SIEM-deployment, CI/CD voor SIEM-regels, QRAR API-automatisering, Cloud SIEM-integratie, AWS CloudTrail SIEM, Microsoft Sentinel-integratie, GCP Cloud Logging SIEM, Azure Monitor SIEM, Office 365 SIEM-integratie, Cloud-native SIEM, Zero Trust monitoring, IAM-dreigingsdetectie, Detectie van identiteitsdreigingen, Detectie van dreigingen in Active Directory, Detectie van Kerberos-aanvallen, Monitoring van bevoegde identiteiten, Security van Multi-Factor Authentication (MFA), Beheer van SOC KPI's en metrieken, SOC maturity assessment, SIEM operationele best practices, Governance van incidentrespons, Levenscyclusbeheer van SIEM-regels, Enterprise SIEM governance

Module 9: Afstudeerproject en real-world threat scenarios

Een uitgebreide hands-on afstudeer project dat enterprise security-scenarios simuleert, inclusief dreigingsdetectie, onderzoek en incidentrespons met behulp van IBM QRAR.

9.1 Afstudeerproject: Enterprise Security Scenario

• Inrichten van een gesimuleerde enterprise-omgeving met realistische logbronnen en aanvallscenario's
• Inrichten van logbronnen en configureren van logverzamelingsbeleid
• Bouwen van detectieregels die zijn gemapt op MITRE ATT&ACK
• Onderzoeken van echte offense-data in QRAR en uitvoeren van forensische analyse
• Ontwerpen en deployen van SOAR-playbooks voor geautomatiseerde respons
• Het genereren van compliance-rapporten voor PCI DSS, HIPAA en GDPR
• Uitvoeren van capaciteitsplanning en het schalen van de SIEM-deployment

9.2 Real-world threat scenarios

• Gesimuleerde aanvallen: ransomware-deployments, insider threats, lateral movement, brute-force-aanvallen, supply chain attacks en phishing
• Detectie van ransomware: lateral movement, datamining en detectie van lateral movement
• Insider threat: pogingen tot data-exfiltratie en detectie van anomalieën
• Detectie van supply chain attacks: detectie van gecompromitteerde vendor-toegang
• Phishingresponse: geautomatiseerd blokkeren van URL's en workflows voor e-mailonderzoek
• Zoektocht naar zero-day dreigingen: detectie van onbekende dreigingen met hunting-technieken zonder regels
• Detectie van Advanced Persistent Threats (APT) met behulp van UEBA en forensische analyse

Aan de markt aangepaste competenties: Levering van het afstudeerproject op het gebied van security, Enterprise SIEM-simulatie, Ontwerp van real-world threat scenario's, Deployments van detectieregels voor MITRE ATT&ACK, SOC incidentonderzoek, Ontwerp van QRAR SOAR playbooks, Simulatie van ransomware-response, Detectie van insider threats, Automatisering van phishingresponse, Detectie van supply chain attacks, Zero-day threat hunting, Detectie van Advanced Persistent Threats (APT), Capaciteitsplanning en schalen van SIEM, Multi-compliance rapportage (PCI DSS, HIPAA, GDPR), Enterprise threat response, Forensisch dreigingsonderzoek, Enrichement van threat intelligence, Automatische incidentcontainment, Simulatie van SOC-operaties, Praktijktraining op full-scale SIEM engineering