Content

Formation McAfee IntruShield

Formations aux produits McAfee

La formation McAfee® IntruShield® est un composant essentiel de toute stratégie de prévention des intrusions efficace. Ce cours aide les administrateurs avertis à devenir des spécialistes de la prévention contre les intrusions. Apprenez à configurer IntruShield afin de vous protéger, dans des situations réelles mises en scène au cours d'exercices pratiques. Mettez immédiatement en pratique les compétences acquises pour améliorer la protection de votre entreprise et rentabiliser pleinement l'investissement consenti dans McAfee IntruShield.

Tab Navigation

Course Details

Code du cours

TRN-INTV-101-TCL

Durée

3 days

Objectifs

  • Installer, configurer et administrer des sondes McAfee® IntruShield®
  • Installer et configurer McAfee® IntruShield® Manager
  • Configurer des ports de surveillance
  • Modifier la paire de ports pour le réseau interne et externe
  • Gérer les rôles, les utilisateurs et les domaines administratifs
  • Définir et configurer l'Observateur d'alertes Alert Viewer pour un historique des attaques
  • Définir et configurer l'Observateur d'alertes Alert Viewer pour la consolidation des données historiques
  • Explorer les catégories d'Alert Viewer
  • Activer et démarrer le service de génération d'incidents
  • Décrire la procédure de génération des trois catégories de rapports
  • Gérer les stratégies avec l'Editeur de stratégies et Alert Viewer
  • Configurer le filtrage des stratégies
  • Configurer les listes de contrôle d'accès (ACL) sur les stratégies
  • Configurer une interface CIDR ou VLAN (réseau local virtuel)
  • Définir une stratégie de reconnaissance
  • Définir une stratégie unique contre les attaques par déni de service
  • Décrire les fonctions d'administration
  • Décrire la procédure de configuration de MDR
  • Décrire la procédure de configuration de l'authentification RADIUS et LDAP

Prérequis

  • Connaissance pratique des concepts d'administration système
  • Connaissance élémentaire des concepts de sécurité informatique

Course Agenda

Jour 1

Présentation générale

Devenez un spécialiste de la prévention des intrusions grâce à des ateliers pratiques qui reproduisent des situations réelles et rentabilisez votre investissement dans McAfee IntruShield.

Présentation de McAfee IntruShield

  • Tendances : un périmètre réseau en voie de disparition
  • Des menaces en évolution constante
  • Attaques
  • Détection des attaques
  • Système de détection des intrusions : présentation
  • Sondes IntruShield (appliances)
  • Système IntruShield Security Management
  • Architecture d'IntruShield
  • Fonctionnalités d'IntruShield et souplesse de déploiement
  • Présentation de la prévention des intrusions

Jour 2

Présentation

Devenez un spécialiste de la prévention des intrusions grâce à des ateliers pratiques qui reproduisent des situations réelles et rentabilisez votre investissement dans McAfee IntruShield.

Stratégies

  • Définition d'une stratégie IntruShield
  • Attentes
  • Définition d'une stratégie
  • Stratégies et jeux de règles préconfigurés
  • Règles des stratégies
  • Catégories d'attaques et niveaux de gravité
  • Actions des sondes
  • Notifications
  • Configuration
  • Editeur de filtres d'alertes
  • Gestion des filtres d'alertes
  • Editeur de jeux de règles
  • Gestion des jeux de règles
  • Ajout d'un jeu de règles
  • Exemple de jeu de règles
  • Création de jeux de règles par nom d'attaque
  • Remarque sur la création de jeux de règles pour les attaques RFB (Remote Frame Buffer)
  • Editeur de stratégies
  • Gestion des stratégies
  • Clonage d'une stratégie
  • Application de jeux de règles
  • Personnalisation d'attaques par exploits
  • Fonctionnalités de recherche d'attaques
  • Personnalisation de l'application d'attaques par exploits
  • Définition des réponses aux attaques
  • Déni de service : apprentissage et modes seuil
  • Configuration d'une stratégie de reconnaissance
  • Descriptions d'attaques
  • Signatures
  • Attaques
  • Alertes de flux non valide
  • Recherche de stratégies dans l'interface d'IntruShield Manager
  • Stratégies et filtres d'alertes : exportation et importation
  • Consultation des stratégies appliquées
  • Réaffectation des stratégies appliquées
  • Global Attack Response Editor (GARE)
  • Indication de personnalisation
  • Mise en œuvre structurée
  • Atelier : Définition d'une stratégie de reconnaissance
  • Atelier : Optimisation des stratégies
  • Atelier : Réaffectation d'une stratégie

Configuration du système IDS virtuel

  • Définition du système IDS virtuel
  • Pare-feu interne virtuel
  • Protection par pare-feu interne
  • Gestion granulaire des stratégies
  • Vue d'ensemble du diagramme logique VLAN/CIDR
  • Port et interface
  • Affichage des détails de l'interface
  • Modification du type d'interface
  • Ajout de réseaux locaux virtuels (VLAN)
  • Définition et vérification d'interfaces VLAN
  • Stratégies appliquées et réseaux VLAN
  • Détails d'une interface VLAN
  • Affectation d'un réseau VLAN à un domaine enfant
  • Création et vérification d'une sous-interface VLAN
  • Distribution de modifications vers une sonde
  • Définition d'une interface CIDR
  • Affectation d'un bloc CIDR
  • Interface CIDR de combinaison
  • Allocation de sous-interface CIDR
  • Ajout d'une plage
  • Exemple d'erreur d'allocation de bloc CIDR
  • Détails de sous-interface
  • Limites des interfaces VLAN et CIDR
  • Atelier : Création d'interfaces CIDR et VLAN
  • Atelier : Application de stratégies différentes à plusieurs sous-interfaces
  • Atelier : Laboratoire de virtualisation
  • Atelier : Laboratoire de groupes d'interfaces

Configuration des listes de contrôle d'accès (ACL)

  • Vue d'ensemble des listes de contrôle d'accès
  • Listes de contrôle d'accès
  • Configuration de listes de contrôle d'accès
  • Avantages par rapport à une liste de contrôle d'accès classique
  • Création de règles
  • Ajout de listes de contrôle d'accès
  • Adresse IP source et de destination
  • Mise en correspondance du protocole et du numéro de port
  • Réaction à adopter
  • Configuration de listes de contrôle d'accès hiérarchiques
  • Règles de sous-interface, interface, port, sonde
  • Listes de contrôle d'accès en mode Tap (connexion unique) ou Span (agrégation de systèmes)
  • Journalisation et suppression de la journalisation ACL
  • Exemple de suppression
  • Recommandations relatives aux listes de contrôle d'accès
  • Activation de la fonction anti-usurpation des adresses IP
  • Détection d'usurpation d'adresses IP
  • Usurpation d'adresses IP - CIDR
  • Solution alternative à CIDR
  • Blocage IPv6
  • Atelier : Listes de contrôle d'accès

Configuration de la protection contre les attaques par déni de service (DoS)

  • Définition d'une attaque par déni de service distribué (DDoS)
  • Approche IntruShield en matière de protection contre les attaques DoS/DDoS
  • Trafic et stratégies DoS
  • Prévention DoS IntruShield
  • Signatures d'exploit et d'outils d'attaques DoS/DDoS
  • Mode d'apprentissage
  • Sensibilité de la réaction
  • Profil à court terme
  • Déséquilibre des anomalies catégoriques
  • Anomalies au niveau du volume : algorithme d'autoapprentissage
  • Centiles
  • Intervalle, valeur et mode seuil
  • Gestion des profils DoS
  • Etat de détection DDoS
  • Affichages des profils DoS
  • Terminologie et ID DoS
  • Personnalisation des modes
  • Limites d'ID DoS
  • Description de la procédure d'ajout de stratégies DoS aux sous-interfaces
  • Gestion des réactions en cas d'attaques DoS/DDoS
  • Filtres, profils et détection de déni de service
  • Héritage des stratégies
  • Affichage d'une alerte d'attaque DoS/DDoS : Observateur d'alertes Alert Viewer
  • Atelier : Configuration des stratégies DoS
  • Atelier : Déni de service

Observateur d'alertes Alert Viewer

  • Présentation de l'Observateur d'alertes Alert Viewer
  • Cache et base de données d'alertes
  • Description de la procédure d'accusé de réception des alertes
  • Description de la procédure de tri des alertes
  • Historique et en temps réel
  • Volets de visualisation
  • Vues d'exploration
  • Accusé de réception d'alertes
  • Configuration
  • Alertes de seuil simples, d'analyse de ports, de balayage de ports hôtes et Entercept
  • Onglet Response (Réaction)
  • Modification des propriétés d'attaque : niveau de stratégie et éditeur GARE
  • Rapport de preuves
  • NSLookup
  • Fichiers, exploration, outils et Gestionnaire pour Microsoft® Windows®
  • Etat de santé du système
  • Préférences
  • Volet de détails et liste de surveillance
  • Configuration et dépannage de proxy SSL
  • Scripts : contenu
  • JavaScripts
  • Correction de la syntaxe de scripts
  • Cycle de vie d'une alerte
  • Atelier : Utilisation d'Alert Viewer
  • Atelier : Configuration des préférences
  • Atelier : Examen de l'état de santé du système
  • Atelier : Exemple de scénario d'exploration

Jour 3

Présentation

Devenez un spécialiste de la prévention des intrusions grâce à des ateliers pratiques qui reproduisent des situations réelles et rentabilisez votre investissement dans McAfee IntruShield.

Génération d'incidents et observateur d'incidents Incident Viewer

  • Définition de la génération d'incidents
  • Configuration du service de génération d'incidents
  • Affichage des incidents
  • Affectation du workflow de l'observateur Incident Viewer à un utilisateur
  • Démarrage du service du générateur
  • Configuration du fichier du générateur d'incidents
  • Affichage des incidents
  • Dépassement de capacité de l'observateur
  • Atelier : Activation et démarrage du service de génération d'incidents

Générateur de rapports

  • Description de l'outil de génération de rapports Report Generator
  • Définition des résultats du rapport de configuration
  • Définition des rapports planifiés
  • IDS, configuration et rapports planifiés
  • Atelier : Génération de rapports

Serveur de mise à jour

  • Serveur de mise à jour McAfee®
  • Processus de mise à jour des signatures
  • Téléchargement des logiciels et des jeux de signatures
  • Planification des mises à jour : par interrogation et par distribution planifiée
  • Importation
  • Définition de l'authentification du serveur de mise à jour
  • Mise à jour des sondes
  • Stratégie et configuration
  • Logiciels

Administration du système

  • Description de la configuration et de l'administration du système
  • Audit des utilisateurs
  • Journal système
  • Notifications
  • SNMP et transmission du journal système (syslog)
  • Messages de défaillance système
  • Gestion des ports non standard
  • Paramètres de réactions
  • Paramètres TCP/IP avancés
  • Décryptage SSL
  • Suppression d'alertes
  • Tâches de maintenance
  • Intégration de McAfee Entercept

Optimisation d'IntruShield

  • Processus d'optimisation
  • Identification des faux positifs
  • Filtrage
  • Etapes d'optimisation
  • Exemples d'optimisation

Résolution des problèmes

  • Description des étapes visant à renforcer la sécurité d'IntruShield Manager
  • Collecte de conseils de dépannage dans la base de connaissances IntruShield
  • Sauvegarde, restauration et optimisation de la base de données
  • Modification des paramètres
  • Ajout d'utilisateurs MySQL

Configuration des signatures définies par l'utilisateur

  • Description d'une signature définie par l'utilisateur (UDS)
  • Description de l'approche d'IntruShield en matière de signatures définies par l'utilisateur
  • Description du processus de création d'une signature définie par l'utilisateur
  • Editeur et configuration de signatures définies par l'utilisateur
  • Création d'une nouvelle signature
  • Atelier : Création d'une signature définie par l'utilisateur