Content

Formación en McAfee IntruShield

Formación en productos McAfee

El curso de McAfee® IntruShield® es un componente esencial de una buena estrategia de prevención de intrusiones. Si usted es un administrador competente, este curso le ofrece la posibilidad de convertirse en un experto en prevención de intrusiones. Aprenderá a configurar IntruShield para proteger contra situaciones reales en sesiones prácticas de laboratorio. Aplicará inmediatamente sus nuevas habilidades a mejorar la protección de su empresa y a aprovechar al máximo su inversión en McAfee IntruShield.

Tab Navigation

Course Details

Código del curso

TRN-INTV-101-TCL

Duración

3 days

Objetivos

  • Instalar, configurar y administrar los sensores de McAfee® IntruShield®
  • Instalar y configurar McAfee® IntruShield® Manager
  • Configurar puertos de supervisión
  • Cambiar el par de puertos para la red exterior/interior
  • Gestionar dominios administrativos, usuarios y funciones
  • Definir y configurar el visor de alertas para ataques históricos
  • Definir y configurar el visor de alertas en históricos consolidados
  • Profundizar en las categorías del visor de alertas
  • Activar e iniciar el servicio generador de incidentes
  • Describir cómo generar las tres categorías de informes
  • Gestionar directivas con el editor de directivas y el visor de alertas
  • Configurar el filtrado de directivas
  • Configurar ACL (listas de control de acceso) en las directivas
  • Configurar una interfaz VLAN o CIDR
  • Definir una directiva de reconocimiento
  • Definir una directiva única de denegación de servicio (DoS)
  • Describir funciones administrativas
  • Describir cómo configurar MDR
  • Describir cómo configurar autenticación RADIUS y LDAP

Requisitos previos

  • Conocimientos básicos de los conceptos de administración de sistemas
  • Comprensión básica de los conceptos de seguridad informática

Course Agenda

Día 1

Descripción general

Conviértase en un experto en prevención de intrusiones en prácticas sesiones de laboratorio que simulan situaciones reales y sacan el máximo partido a su inversión en McAfee IntruShield.

Resumen de McAfee IntruShield

  • Tendencia del perímetro a desaparecer
  • El panorama de amenazas cambiantes
  • Ataques
  • Detección de ataques
  • ¿Qué es un sistema de detección de intrusiones?
  • sensores IntruShield
  • Sistema IntruShield Security Management
  • Arquitectura de IntruShield
  • Características y flexibilidad de implantación de IntruShield
  • Resumen de prevención de intrusiones

Día 2

Descripción general

Conviértase en un experto en prevención de intrusiones en prácticas sesiones de laboratorio que simulan situaciones reales y sacan el máximo partido a su inversión en McAfee IntruShield.

Directivas

  • Definir una directiva de IntruShield
  • Expectativas
  • ¿Qué es una directiva?
  • Conjuntos de reglas y directivas preconfigurados
  • Reglas para las directivas
  • Categorías de ataques e intervalo de gravedad
  • Acciones de los sensores
  • Notificaciones
  • Configuración
  • Editor de filtros de alertas
  • Gestión de filtros de alertas
  • Editor de conjuntos de reglas
  • Gestión de conjuntos de reglas
  • Adición de un conjunto de reglas
  • Ejemplo de conjunto de reglas
  • Creación de conjuntos de reglas por nombres de ataques
  • Nota sobre la creación de conjuntos de reglas ataques RFB
  • Editor de directivas
  • Administración de directivas
  • Clonación de una directiva
  • Aplicación de conjuntos de reglas
  • Personalización de ataques
  • Funciones de búsqueda de ataques
  • Personalización de imposición de ataques
  • Establecimiento de respuestas a los ataques
  • Denegación de servicio: aprendizaje y modos de umbral
  • Configuración de una directiva de reconocimiento
  • Descripciones de ataques
  • Firmas
  • Ataques
  • Alerta de flujo no válido
  • Localización de directivas en la interfaz del Manager
  • Directivas/filtros de alertas: exportación/importación
  • Consulta de directivas aplicadas
  • Reasignación de directivas aplicadas
  • Editor de respuestas a ataques globales (GARE)
  • Indicación de personalización
  • Integración
  • Laboratorio: definición de una directiva de reconocimiento
  • Laboratorio: ajuste de directivas
  • Laboratorio: reasignación de una directiva

Configuración de IDS virtual

  • Definir IDS virtual
  • Firewall virtual interno
  • Protección de firewall interno
  • Administración diferenciada de directivas
  • Resumen de diagrama lógico de VLAN/CIDR
  • Puerto frente a interfaz
  • Consulta de detalles de interfaz
  • Cambio de tipo de interfaz
  • Incorporación de VLAN
  • Definición y verificación de interfaces VLAN
  • Directivas aplicadas y VLAN
  • Detalles de una interfaz VLAN
  • Asignación de una VLAN a un dominio secundario
  • Creación y verificación de una subinterfaz VLAN
  • Transmisión de cambios a un sensor
  • Definición de una interfaz CIDR
  • Asignación de un bloque CIDR
  • Interfaz CIDR combinada
  • Asignación de subinterfaz CIDR
  • Adición de un intervalo
  • Ejemplo de error de asignación de bloque CIDR
  • Detalles de subinterfaz
  • interfaz VLAN y límites de CIDR
  • Laboratorio: creación de interfaces VLAN y CIDR
  • Laboratorio: aplicación de diferentes directivas a varias subinterfaces
  • Laboratorio: laboratorio de virtualización
  • Laboratorio: prácticas de grupos de interfaces

configuración de listas de control de acceso

  • Resumen de listas de control de acceso
  • Listas de control de acceso
  • Configuración de listas de control de acceso
  • Ventajas respecto a una lista de control de acceso típica
  • Creación de reglas
  • Adición de listas de control de acceso
  • IP de origen/IP de destino
  • Protocolo coincidente/número de puerto
  • Acción de respuesta
  • Configuración de listas de control de acceso jerárquicas
  • Reglas de sensor, puerto, interfaz, subinterfaz
  • Listas de control de acceso en modo span o de escucha
  • Exclusión de registro y registro de listas de control de acceso
  • Ejemplo de exclusión
  • Recomendaciones para las listas de control de acceso
  • Activación de antidisfraz (antispoofing) de direcciones
  • Detección de falseamiento de IP
  • Falseamiento de IP  CIDR
  • Alternativa a CIDR
  • Bloqueo de IPv6
  • Laboratorio: Listas de control de acceso

Configuración de denegación de servicio

  • ¿Qué es la denegación de servicio distribuida (DdoS)?
  • Planteamiento de IntruShield respecto a la denegación de servicio/denegación de servicio distribuida
  • Directiva y tráfico de denegación de servicio
  • Prevención de denegación de servicio IntruShield
  • Herramienta de ataque y firmas de aprovechamiento de denegación de servicio/denegación de servicio distribuida
  • Modo de aprendizaje
  • Sensibilidad de respuesta
  • Perfil a corto plazo
  • Desequilibrio de anomalías categorizadas
  • Anomalías de volumen: Algoritmo de autoaprendizaje
  • Percentiles
  • Modo de umbral, valor e intervalo
  • Administración de perfiles de denegación de servicio
  • Estado de detección de denegación de servicio distribuida
  • Consulta de perfiles de denegación de servicio
  • Terminología e identificación de denegación de servicio
  • Modos de personalización
  • Límites de identificación de denegación de servicio
  • Describir cómo añadir directivas de denegación de servicio a las subinterfaces
  • Gestión de acciones de respuesta a la denegación de servicio/denegación de servicio distribuida
  • Detección de denegación de servicio, perfiles y filtros
  • Herencia de políticas
  • Consulta de una alerta de denegación de servicio/denegación de servicio distribuida: Visor de alertas
  • Laboratorio: configuración de directivas de denegación de servicio
  • Laboratorio: denegación de servicio

Visor de alertas

  • Definir el visor de alertas
  • Caché y base de datos de alertas
  • Describir cómo acusar recibo de las alertas
  • Describir cómo ordenar las alertas
  • En tiempo real e histórico
  • Paneles del visor
  • Vistas detalladas
  • Reconocimiento de alertas
  • Configuración
  • Entercept, barrido de host, exploración de puertos y simples alertas de umbral
  • Ficha de respuesta
  • Edición de las propiedades de los ataques: Nivel de directiva y GARE
  • Informe de pruebas
  • NSLookup
  • Archivo, profundización, herramientas y Microsoft® Windows® Manager
  • Estado del sistema
  • Preferencias
  • Panel de detalles y listas de seguimiento
  • Configuración y diagnóstico de proxy SSL
  • Scripts: Contenido
  • JavaScripts
  • Diagnóstico de la sintaxis de los scripts
  • Ciclo de vida de una alerta
  • Laboratorio: trabajo con el visor de alertas
  • Laboratorio: configuración de preferencias
  • Laboratorio: examen del estado del sistema
  • Laboratorio: escenario de un supuesto de profundización

Día 3

Descripción general

Conviértase en un experto en prevención de intrusiones en prácticas sesiones de laboratorio que simulan situaciones reales y sacan el máximo partido a su inversión en McAfee IntruShield.

Generación de incidentes y visor de incidentes

  • Definir la generación de incidentes
  • Configurar el servicio generador de incidentes
  • Ver incidentes
  • Asignar el flujo de trabajo del visor de incidentes a un usuario
  • Inicio del servicio generador
  • Configuración del archivo generador de incidentes
  • Ver incidentes
  • Desbordamiento de trabajos del visor
  • Ejercicio práctico: Activación e inicio del servicio generador de incidentes

Generador de informes

  • Describir la herramienta del generador de informes
  • Definir la salida del informe de configuración
  • Definir los informes programados
  • IDS, configuración e informes programados
  • Laboratorio: generación de informes

Servidor de actualizaciones

  • Servidor de actualizaciones McAfee®
  • Proceso de actualización de firmas
  • Descarga de software y juegos de firmas
  • Programación de actualizaciones: polling y distribución programada
  • Importación
  • Establecimiento de la autenticación del servidor de actualizaciones
  • Actualización de sensores
  • Directiva y configuración
  • Software

Administración del sistema

  • Describir administración y configuración del sistema
  • Auditoría de usuarios
  • Registro del sistema
  • Notificaciones
  • SNMP y reenvío a syslog
  • Mensajes de fallos del sistema
  • Administración de puertos no estándar
  • Configuración de acciones de respuesta
  • Configuración avanzada de TCP/IP
  • Descifrado de SSL
  • Exclusión de alertas
  • Tareas de mantenimiento
  • Integración de Entercept

Ajuste de IntruShield

  • Proceso de ajuste
  • Identificación de falsos positivos
  • Filtrado
  • Pasos de ajuste
  • Ejemplos de ajuste

Diagnóstico de fallos

  • Describir los pasos para reforzar el IntruShield Manager
  • Recabar consejos sobre diagnóstico de fallos de la base de conocimientos de IntruShield
  • Hacer una copia de seguridad de la base de datos, recuperarla y ajustarla
  • Cambio de parámetros
  • Alta de usuarios de MySQL

Configuración de firmas definidas por el usuario

  • Describir una firma definida por el usuario (UDS)
  • Describir el planteamiento de IntruShield respecto a las firmas definidas por el usuario
  • Describir el proceso de creación de una firma definida por el usuario
  • Configuración y editor de UDS
  • Creación de una nueva firma
  • Laboratorio: creación de una firma definida por el usuario