McAfee Intrushield 培训

Course Details

课程代码

TRN-INTV-101-TCL

持续时间

3 days

目标

• 安装、配置和管理 McAfee® IntruShield® 传感器
• 安装并配置 McAfee® IntruShield® Manager
• 配置监控端口
• 更改网外/网内端口对
• 对管理域、用户和角色进行管理
• 定义和配置用来记录攻击的“警报查看器”
• 以历史整合的方式定义和配置“警报查看器”
• 深入分析“警报查看器”的类别
• 启用并启动事件生成器服务
• 描述如何生成三种类型的报告
• 借助策略编辑器和警报查看器管理策略
• 配置策略过滤功能
• 根据策略配置 ACL
• 配置 VLAN 或 CIDR 界面
• 定义侦察策略
• 定义拒绝服务 (DoS) 攻击策略
• 描述管理功能
• 描述如何配置 MDR
• 描述如何配置 RADIUS 和 LDAP 身份验证

前提条件

• 有关系统管理理念的知识
• 计算机安全的基本概念

Course Agenda

天数 1

概述

通过模拟真实环境的动手实验室的学习，管理员将成为入侵防护专家，并从 McAfee IntruShield 投资中获得最大回报。

McAfee IntruShield 概述

• 趋势：外围网络的界线正在逐渐消失
• 不断演变的威胁形势
• 攻击
• 检测攻击
• 什么是入侵检测系统？
• IntruShield 传感器设备
• IntruShield 安全管理系统
• IntruShield 体系结构
• IntruShield 的特性和部署的灵活性
• 入侵防护概述

天数 2

概述

通过模拟真实环境的动手实验室的学习，管理员将成为入侵防护专家，并从 McAfee IntruShield 投资中获得最大回报。

策略

• 定义 IntruShield 策略
• 预期
• 什么是策略？
• 经过预配置的规则集和策略
• 策略规则
• 攻击类别与严重程度
• 传感器的活动
• 通知
• 配置
• 警报过滤器编辑器
• 管理警报过滤器
• 规则集编辑器
• 管理规则集
• 添加规则集
• 规则集示例
• 根据攻击名称构建规则集
• 关于规则集创建 RFB 攻击的注释
• 策略编辑器
• 管理策略
• 复制策略
• 运用规则集
• 自定义攻击
• 攻击搜索功能
• 自定义攻击实施
• 设置对攻击的响应
• DoS：记忆模式和阈值模式
• 配置侦察策略
• 攻击描述
• 签名
• 攻击
• 无效数据流警报
• 在 Manager 界面中查找策略
• 策略/警报过滤器：导出/导入
• 查看应用的策略
• 重新指定应用的策略
• 全局攻击响应编辑器 (GARE)
• 自定义表征
• 全部准备就绪
• 实验室：定义侦察策略
• 实验室：策略优化
• 实验室：重新指定策略

配置虚拟 IDS

• 定义虚拟 IDS
• 内部虚拟防火墙
• 内部防火墙保护
• 细化的策略管理
• VLAN/CIDR 逻辑图表概览
• 端口与接口
• 查看接口的详细信息
• 更改接口类型
• 添加 VLAN
• 定义并检验 VLAN 接口
• 应用的策略和 VLAN
• VLAN 接口的详细信息
• 将 VLAN 指定给子域
• 创建并检验 VLAN 子接口
• 对传感器做出更改
• 定义 CIDR 接口
• 指定 CIDR 块
• 组合 CIDR 接口
• 分配 CIDR 子接口
• 添加范围
• CIDR 块分配错误示例
• 子接口的详细信息
• 接口的 VLAN 和 CIDR 限制
• 实验室：创建 VLAN 和 CIDR 接口
• 实验室：对多个子接口运用不同策略
• 实验室：虚拟化实验室
• 实验室：接口组实验室

配置 ACL

• ACL 概述
• 访问控制列表
• ACL 配置
• 相比常规 ACL 的优势
• 规则创建
• 添加 ACL
• 源 IP/目标 IP
• 对协议/端口号进行匹配
• 响应操作
• 层级 ACL 配置
• 传感器、端口、接口和子接口规则
• Span 模式或接入模式下的 ACL
• 记录以及 ACL 记录清除
• 有关清除操作的示例
• ACL 建议
• 启用 IP 地址防欺骗功能
• IP 欺骗检测
• IP 欺骗 CIDR
• 对 CIDR 的替代
• IPv6 拦截功能
• 实验室：访问控制列表

配置 DoS

• 什么是分布式 DoS？
• DoS/DDoS IntruShield 方法
• DoS 策略和流量
• IntruShield DoS 防护
• DoS/DDoS 攻击工具和漏洞攻击签名
• 学习模式
• 响应灵敏度
• 短期配置文件
• 类别异常失衡
• 容量异常：自学习算法
• 百分点
• 阈值模式、数值和时间间隔
• 管理 DoS 配置文件
• DDoS 检测状态
• 查看 DoS 配置文件
• DoS 术语和 DoS ID
• 自定义模式
• DoS ID 限制
• 描述如何向子接口添加 DoS 策略
• 管理 DoS/DDoS 响应操作
• DoS 检测、配置文件和过滤器
• 策略的继承性
• 查看 DoS/DDoS 警报：警报查看器
• 实验室：配置 DoS 策略
• 实验室：拒绝服务

警报查看器

• 定义“警报查看器”
• 警报缓存和数据库
• 描述如何确认警报
• 描述如何对警报分类
• 实时警报与历史警报
• 查看器面板
• 详细视图
• 确认警报
• 正在配置
• Entercept 警报、主机扫描警报、端口扫描警报以及简单的阈值警报
• 响应选项卡
• 编辑攻击属性：策略等级和 GARE
• 证据报告
• NSLookup
• 文件、深入分析、工具和 Microsoft® Windows® Manager
• 系统状态
• 首选项
• 详细信息面板和监视列表
• SSL 代理配置和故障排除
• 脚本：内容
• JavaScript
• 针对脚本语法的故障排除
• 警报生命周期
• 实验室：使用“警报查看器”
• 实验室：配置首选项
• 实验室：检查系统状态
• 实验室：深入分析方案示例

天数 3

概述

通过模拟真实环境的动手实验室的学习，使管理员成为入侵防护专家，并从 McAfee IntruShield 投资中获得最大回报。

事件生成和事件查看器

• 定义事件生成
• 配置事件生成器服务
• 查看事件
• 为用户指定事件查看器工作流程
• 启动事件生成器服务
• 配置事件生成器文件
• 查看事件
• 查看器工作溢出
• 实验室：启用和启动事件生成器服务

报告生成器

• 描述报告生成器工具
• 定义配置报告输出
• 定义计划报告
• IDS、配置和计划报告
• 实验室：生成报告

更新服务器

• McAfee® 更新服务器
• 签名更新过程
• 下载软件和签名集
• 计划更新：轮询和计划“推送”
• 从文本文件导入
• 设置更新服务器验证
• 更新传感器
• 策略和配置
• 软件

系统管理

• 描述系统管理和配置
• 用户审核
• 系统日志
• 通知
• SNMP 和系统日志转发
• 系统错误消息
• 管理非标准端口
• 响应操作设置
• 高级 TCP/IP 设置
• SSL 解密
• 警报清除
• 维护任务
• Entercept 集成

优化 IntruShield

• 优化过程
• 识别误报
• 过滤功能
• 优化步骤
• 优化示例

故障排除

• 描述 IntruShield Manager 功能强化步骤
• 从 IntruShield 知识库获取故障排除技巧
• 对数据库进行备份、恢复和优化
• 更改参数
• 添加 MySQL 用户

配置用户定义的签名

• 描述用户定义的签名 (UDS)
• 描述 IntruShield 的 UDS 方法
• 描述 UDS 的创建过程
• UDS 配置和编辑器
• 创建新签名
• 实验室：创建 UDS

Schedule and Registration

请查看我们的在线课程安排和注册信息。