Content

Training McAfee IntruShield

McAfee Produktschulung

Der Kurs McAfee® IntruShield® ist ein wichtige Komponente für eine erfolgreiche Strategie der Intrusion Prevention. Wenn Sie ein sachkundiger Administrator sind, bringt Sie dieser Kurs auf den Weg hin zum Intrusion Prevention-Experten. In praktischen Übungen lernen Sie, wie man IntruShield konfiguriert, damit es vor realen Gefahrensituationen schützt. Sie können Ihre neuen Kenntnisse sofort anwenden, um den Schutz Ihres Unternehmens zu verbessern und Ihre Investition in McAfee IntruShield voll zu nutzen.

Tab Navigation

Course Details

Kurscode

TRN-INTV-101-TCL

Dauer

3 days

Zielsetzung

  • McAfee® IntruShield®-Sensoren installieren, konfigurieren und verwalten
  • McAfee® IntruShield® Manager installieren und konfigurieren
  • Überwachungs-Ports konfigurieren
  • Das Port-Paar für außerhalb/innerhalb des Netzwerks ändern
  • Administrative Domains, Anwender und Rollen verwalten
  • Den Alert Viewer für vergangene Angriffe aufsetzen und konfigurieren
  • Den Alert Viewer für vergangene Angriffe aufsetzen und konfigurieren
  • Detailliert nach den Alert Viewer-Kategorien untersuchen
  • Aktivieren und Starten des Vorfall-Generator-Dienstes
  • Die Erstellung der drei Report-Kategorien beschreiben
  • Mit dem Policy-Editor und Alert Viewer Richtlinien verwalten
  • Filterung nach Richtlinien konfigurieren
  • ACLs nach Richtlinien konfigurieren
  • Ein VLAN- oder ein CIDR-Interface konfigurieren
  • Richtlinien für die Erkundung definieren
  • Einen einzelnen Richtliniensatz für Denial of Service (DoS) bilden
  • Administrative Funktionen beschreiben
  • Die Konfigurierung von MDR beschreiben
  • Die Konfigurierung der Authentifizierung über RADIUS und LDAP beschreiben

Vorbedingungen

  • Grundwissen über Konzepte der Systemadministration
  • Grundverständnis von Computer-Sicherheitskonzepten

Course Agenda

Tag 1

Überblick

Werden Sie ein Experte in Intrusion Prevention durch praxisorientierte Laborversuche, die reale Situationen simulieren. So erzielen Sie den größten Gewinn aus Ihrer Investition in McAfee IntruShield.

McAfee IntruShield – Übersicht

  • Trend: Der Netzwerkrand verschwindet
  • Wie sich die Bedrohungslandschaft entwickelt
  • Angriffe
  • Angriffe erkennen
  • Was ist ein Intrusion Detection System?
  • IntruShield Sensor Appliances
  • IntruShield Security Management System
  • IntruShield Architektur
  • Eigenschaften und Einrichtungs-Flexibilität von IntruShield
  • Intrusion Prevention im Überblick

Tag 2

Überblick

Werden Sie ein Experte in Intrusion Prevention durch praxisorientierte Laborversuche, die reale Situationen simulieren. So erzielen Sie den größten Gewinn aus Ihrer Investition in McAfee IntruShield.

Richtlinien

  • Richtlinien für IntruShield definieren
  • Erwartungen
  • Was ist ein Richtliniensatz?
  • Vorkonfigurierte Regelsätze und Richtliniensätze
  • Regeln für Richtliniensätze
  • Angriffskategorien und Schweregrade
  • Aktionen von Sensoren
  • Benachrichtigungen
  • Konfiguration
  • Der Alert Filter-Editor
  • Alert Filter verwalten
  • Der Regelsatz-Editor
  • Regelsätze verwalten
  • Einen Regelsatz hinzufügen
  • Beispiel eines Regelsatzes
  • Regelsätze nach Angriffsnamen bilden
  • Anmerkung zur Aufbau von Regelsätzen für RFB-Angriffen
  • Der Policy Editor
  • Verwaltung von Richtlinien
  • Einen Richtliniensatz duplizieren
  • Regelsätze hinzufügen
  • Missbrauch-Angriffe anpassen
  • Fähigkeiten zur Angriffssuche
  • Einschreiten gegen Missbrauch-Angriffe anpassen
  • Reaktionen auf Angriffe einstellen
  • DoS: Lernmodus und Grenzwertmodus
  • Richtlinien für die Erkundung konfigurieren
  • Angriffsbeschreibungen
  • Signaturen
  • Angriffe
  • Alarmierung bei ungültigem Datenfluss
  • Richtlinien im Manager-Interface finden
  • Richtlinien/Alarm-Filter: Export/Import
  • Angewendete Richtlinien anzeigen
  • Angewendete Richtlinien neu zuordnen
  • Der Global Attack Response Editor (GARE)
  • Anzeige der Anpassung
  • Zusammenfassung
  • Übung: Richtlinien für eine Erkundung definieren
  • Übung: Richtlinien abstimmen
  • Übung: Richtlinien neu zuordnen

Virtual IDS konfigurieren

  • Virtual IDS aufsetzen
  • Virtuelle interne Firewall
  • Schutz durch interne Firewall
  • Fein strukturiertes Richtlinien-Management
  • Logikdiagramm VLAN/CIDR
  • Port und Schnittstelle im Vergleich
  • Schnittstellen-Details anzeigen
  • Schnittstellen-Typ ändern
  • VLANs hinzufügen
  • VLAN-Schnittstellen aufsetzen und verifizieren
  • Angewandte Richtlinien und VLANs
  • Details einer VLAN-Schnittstelle
  • Ein VLAN einer Kind-Domain zuordnen
  • Ein VLAN-Sub-Interface aufsetzen und verifizieren
  • Änderungen zum Sensor übertragen
  • Definieren eines CIDR-Interface
  • Zuordnung eines CIDR-Blocks
  • Kombiniertes CIDR-Interface
  • CIDR-Sub-Interface reservieren
  • Einen Bereich hinzufügen
  • Beispiels eines Fehlers in der CIDR-Blockreservierung
  • Details des Sub-Interface
  • Grenzen für das VLAN- und das CIDR-Interface
  • Übung: Ein VLAN- oder ein CIDR-Interface erzeugen
  • Übung: Mehreren Sub-Interfaces verschiedene Richtliniensätze zuordnen
  • Übung: Virtualisierungsübung
  • Übung: Interface-Gruppen-Übung

ACLs konfigurieren

  • ACL – Übersicht
  • Access Control-Listen
  • ACL-Konfiguration
  • Vorteile gegenüber einer typischen ACL
  • Erstellen von Regeln
  • ACLs hinzufügen
  • Quell-IP/Ziel-IP
  • Protokolle und Portnummern in Einklang bringen
  • Abwehrmaßnahme
  • Hierarchische ACL-Konfiguration
  • Regeln für Sensoren, Ports, Interfaces und Sub-Interfaces
  • ACLs im Span- oder im Tap-Modus
  • Protokollierung und Unterdrückung der ACL-Protokollierung
  • Beispiel für eine Unterdrückung
  • Empfehlung für ACLs
  • Aktivierung der Abwehr des Spoofings von IP Adressen
  • Erkennung von IP-Spoofing
  • IP-Spoofing bei CIDR
  • Alternative zu CIDR
  • IPv6 blocken
  • Übung: Auf Kontroll-Listen zugreifen

DoS Konfigurieren

  • Was ist Distributed DoS?
  • Der IntruShield-Ansatz für DoS/DDoS
  • DoS-Richtlinien und -Datenverkehr
  • Die DoS-Abwehr durch IntruShield
  • Das Dos/DDoS-Angriffstool und Missbrauch-Signaturen
  • Lernmodus
  • Reaktionsempfindlichkeit
  • Kurzzeit-Profil
  • Ungleichgewicht durch kategorische Anomalien
  • Mengenanomalien: Selbstlern-Algorithmus
  • Perzentile
  • Grenzwerte – Modus, Wert und Intervall
  • DoS-Profile verwalten
  • Status DDoS-Erkennung
  • DoS-Profile anzeigen
  • DoS-Terminologie und DoS-ID
  • Modi anpassen
  • Grenzen der DoS-ID
  • Beschreiben, wie man DoS-Richtliniensätze Sub-Interfaces hinzufügt
  • Abwehrmaßnahmen für DoS/DDoS verwalten
  • DoS-Erkennung, Profile und Filter
  • Richtlinienübernahme
  • Einen Dos/DDos-Alarm anzeigen: Der Alert Viewer
  • Übung: DoS-Richtlinien konfigurieren
  • Übung: Denial of Service

Der Alert Viewer

  • Den Alert Viewer aufsetzen
  • Alarm-Cache und -datenbank
  • Die Bestätigung von Alarmen beschreiben
  • Das Sortieren von Alarmen beschreiben
  • Echtzeit und Rückschau im Vergleich
  • Viewer-Fenster
  • Detaillierte Einblicke
  • Alarm-Bestätigung
  • Konfigurieren von
  • Alarmen für Entercept, Host Sweep, Port-Scan und einfache Grenzwerte
  • Karte Abwehrmaßnahmen
  • Angriffseigenschaften bearbeiten: Richtlinien-Ebene und GARE
  • Nachweis-Report
  • NSLookup
  • Datei, Detailanalyse, Tools und Microsoft® Windows® Manager
  • Rechnerzustand
  • Einstellungen
  • Detail-Anzeige und Beobachtungsliste
  • SSL Proxy – Konfiguration und Fehlerbeseitigung
  • Skripts: Inhalt
  • JavaScripts
  • Syntaxfehler in Skripts beseitigen
  • Lebenszyklus eines Alarms
  • Übung: Arbeiten mit dem Alert-Viewer
  • Übung: Konfigurierung von Einstellungen
  • Übung: Rechnerzustand untersuchen
  • Übung: Beispiel für ein Detailanalyse-Szenario

Tag 3

Überblick

Werden Sie ein Experte in Intrusion Prevention durch praxisorientierte Laborversuche, die reale Situationen simulieren. So erzielen Sie den größten Gewinn aus Ihrer Investition in McAfee IntruShield.

Vorfallgenerierung und Vorfall-Viewer

  • Vorfallgenerierung bestimmen
  • Den Incident Generator Service konfigurieren
  • Vorfälle anzeigen
  • Den Workflow des Incident Viewer einem Anwender zuordnen
  • Starten des Generator-Dienstes
  • Konfigurieren der Vorfall-Generator-Datei
  • Vorfälle anzeigen
  • Viewer Work-Overflow
  • Labor: Aktivieren und Starten des Vorfall-Generator-Dienstes

Report-Generator

  • Das Report Generator-Tool beschreiben
  • Die Ausgabe des Konfigurationsreports bestimmen
  • Vorgeplante Reports aufsetzen
  • IDS, Konfiguration und vorgeplante Reports
  • Übung: Reports generieren

Update Server

  • McAfee® Update Server
  • Der Signatur-Updateprozess
  • Download von Software und Signatur-Sätzen
  • Geplante Updates: Abfrage und Verteilung nach Plan
  • Importieren
  • Authentifizierung des Update-Servers einstellen
  • Sensoren aktualisieren
  • Richtlinien und Konfiguration
  • Software

Systemadministration

  • Systemadministration und Konfiguration beschreiben
  • Anwenderprotokoll
  • Systemprotokoll
  • Benachrichtigungen
  • SNMP- und Syslog-Weiterleitung
  • System-Fehlermeldungen
  • Behandlung nicht standardgemäßer Ports
  • Einstellung von Abwehrmaßnahmen
  • Erweiterte TCP/IP-Einstellungen
  • SSL-Entschlüsselung
  • Unterdrückung von Alarmen
  • Wartungsaufgaben
  • Integration von Entercept

IntruShield abstimmen

  • Der Abstimmungsprozess
  • "False Positives" erkennen
  • Filterung
  • Abstimmungsschritte
  • Abstimmungsbeispiele

Fehlerbeseitigung

  • Schritte zur Absicherung von IntruShield Manager beschreiben
  • Tipps zur Fehlerbeseitigung aus der IntruShield-Wissensdatenbank entnehmen
  • Datenbank sichern, wiederherstellen und abstimmen
  • Parameter ändern
  • MySQL-Anwender hinzufügen

Anwender-definierte Signaturen konfigurieren

  • Eine User-defined Signature (UDS) beschreiben
  • Den Ansatz von IntruShield für UDS beschreiben
  • Den Prozess zum Aufbau einer UDS beschreiben
  • UDS-Konfiguration und Editor
  • Erstellen einer neuen Signatur
  • Übung: Eine UDS aufbauen