Content
Training McAfee Intrushield
Formazione sui prodotti McAfee
Il corso McAfee® IntruShield® è un componente essenziale per una strategia di successo per la prevenzione delle intrusioni. Se siete un amministratore ben informato, questo corso vi mette in condizione di diventare un esperto in prevenzione delle intrusioni. Imparerete a configurare IntruShield per proteggervi dalle situazioni del mondo reale in sessioni pratiche di laboratorio. Potrete sfruttare subito quello che avete imparato per migliorare la protezione della vostra azienda e sfruttare completamente il vostro investimento in McAfee IntruShield.
Tab Navigation
Course Details
Codice corsi
TRN-INTV-101-TCL
Durata
3 days
Obiettivi
- Installate, configurate ed implementate i sensori McAfee® IntruShield®
- Installate e configurate McAfee® IntruShield® Manager
- Configurate le porte di monitoraggio
- Modificate la coppia di porte per la rete interna/esterna
- Gestite i domini amministrativi, gli utenti e i ruoli
- Definite e configurate Alert Viewer per gli attacchi storici
- Definite e configurate Alert Viewer per lo storico consolidato
- Approfondite le categorie di Alert Viewer
- Attivate e avviate il servizio di generazione degli eventi
- Modalità di generazione delle tre categorie di report
- Gestite le policy con il policy editor e Alert Viewer
- Configurate il filtraggio delle policy
- Configurate le ACL sulle policy
- Configurate una VLAN o un'interfaccia CIDR
- Definite una policy di riconoscimento
- Definite una policy singola DoS (Denial of Service)
- Funzioni amministrative
- Modalità di configurazione di MDR
- Modalità di configurazione dell'autenticazione RADIUS & LDAP
Prerequisiti
- Working knowledge of system administration concepts
- Basic understanding of computer security concepts
Course Agenda
Giorno 1
Panoramica
Diventate un esperto di prevenzione delle intrusioni grazie ai nostri laboratori pratici che simulano le situazioni del mondo reale e sfruttano al massimo il vostro investimento in McAfee IntruShield.
Panoramica su McAfee IntruShield
- Tendenza: il perimetro evanescente
- Il panorama in evoluzione delle minacce
- Attacchi
- Individuazione degli attacchi
- Cos'è un sistema di individuazione delle intrusioni?
- Sensori IntruShield
- Sistema di gestione della sicurezza IntruShield
- IntruShield architecture
- IntruShield features and deployment flexibility
- Overview of intrusion prevention
Giorno 2
Panoramica
Diventate un esperto di prevenzione delle intrusioni grazie ai nostri laboratori pratici che simulano le situazioni del mondo reale e sfruttano al massimo il vostro investimento in McAfee IntruShield.
Policy
- Definizione di una policy IntruShield
- Aspettative
- Che cos'è una policy?
- Set e policy di regole preconfigurati
- Regole per le policy
- Le categorie degli attacchi e il livello di gravità
- Le azioni dei sensori
- Notifiche
- Configurazione
- Editor dei filtri di allarme
- Gestione dei filtri di allarme
- Editor dei gruppi di regole
- Gestione dei gruppi di regole
- Aggiunta di un gruppo di regole
- Esempio di gruppi di regole
- Creazione dei gruppi di regole per nome dell'attacco
- Una nota sugli attacchi RFB di creazione dei gruppi di regole
- Editor delle policy
- Policy di gestione
- Clonazione di una policy
- Applicazione dei gruppi di regole
- Personalizzazione degli attacchi di exploit
- Funzionalità di ricerca degli attacchi
- Personalizzazione dell'applicazione dell'attacco dell'exploit
- Impostazione delle risposte agli attacchi
- DoS: modalità di apprendimento e soglia
- Configurazione di una policy di riconoscimento
- Descrizione degli attacchi
- Firme
- Attacchi
- Allarme di flusso non valido
- Individuazione delle policy nell'interfaccia Manager
- Policy/filtri di allarme: Export/import
- Visualizzazione delle policy applicate
- Riassegnazione delle policy applicate
- Editor GARE (Global Attack Response Editor
- Indicazione per la personalizzazione
- Coordinamento
- Lab: definizione di una policy di riconoscimento
- Lab: tuning della policy
- Lab: riassegnazione di una policy
Configurazione dell'IDS virtuale
- Definizione dell'IDS virtuale
- Firewall interno virtuale
- Protezione firewall interna
- Gestione granulare delle policy
- Panoramica sul diagramma logico VLAN/CIDR
- Confronto porta/interfaccia
- Visualizzazione dei dettagli sull'interfaccia
- Modifica del tipo di interfaccia
- Aggiunta di VLAN
- Definizione e verifica delle interfacce VLAN
- Policy applicate e VLAN
- Dettagli su un'interfaccia VLAN
- Assegnazione di una VLAN ad un dominio figlio
- Creazione e verifica di una sotto interfaccia VLAN
- Forzatura dei cambiamenti a un sensore
- Definizione di un'interfaccia CIDR
- Assegnazione di un blocco CIDR
- Interfaccia di combinazione CIDR
- Attribuzione di una sotto interfaccia CIDR
- Aggiunta di una fascia
- Esempio di errore di allocazione del blocco CIDR
- Dettagli sulla sotto interfaccia
- Limiti VLAN e CIDR dell'interfaccia
- Lab: creazione di interfacce VLAN e CIDR
- Lab: applicazioni di policy diverse a sotto interfacce multiple
- Lab: lab di virtualizzazione
- Lab: lab di gruppo interfacce
Configurazione delle ACL
- Panoramica sulle ACL
- Liste di controllo degli accessi
- Configurazione delle ACL
- Vantaggi rispetto ad una ACL tradizionale
- Creazione di una regola
- Aggiunta delle ACL
- IP sorgente/IP di destinazione
- Combinazione di protocollo/numero di porta
- Azione di risposta
- Configurazione di ACL gerarchiche
- Regole su sensori, porte, interfacce e sotto interfacce
- ACL in modalità span e tap
- Logging e eliminazione del logging delle ACL
- Esempio di eliminazione
- Consigli sulle ACL
- Attivazione dell'antispoofing dell'indirizzo IP
- Individuazione delle spoofing IP
- CIDR dello spoofing IP
- Alternativa a CIDR
- Blocco di IPv6
- Lab: liste di controllo degli accessi
Configurazione DoS
- Che cos'è un DoS distribuito?
- Approccio IntruShield a DoS/DDoS
- Policy e traffico DoS
- Prevenzione DoS IntruShield
- Tool di attacco DoS/DDoS e firme degli exploit
- Modalità di apprendimento
- Sensibilità alla risposta
- Profilo a breve termine
- Squilibrio delle anomalie categoriche
- Anomalie di volume: algoritmo di autoapprendimento
- Percentili
- Modalità, valore e intervallo di soglia
- Gestione dei profili DoS
- Stato di individuazione DDoS
- Visualizzazione dei profili DoS
- Terminologia DoS e ID DoS
- Modalità di personalizzazione
- Limiti dell'ID DoS
- Modalità di aggiunta delle policy DoS alle sotto interfacce
- Gestione delle azioni di risposta DoS/ DDoS
- DoS detection, profiles, and filters
- Policy inheritance
- Visualizzazione di un allarme DoS/DDoS: visualizzatore allarme
- Lab: configurazione policy DoS
- Lab: Denial of Service
Visualizzatore allarme
- Definizione di Alert Viewer
- Cache e database degli allarmi
- Descrizione delle modalità di riconoscimento degli allarmi
- Descrizione delle modalità di selezione degli allarmi
- Confronto tempo reale/storico
- Viewer panels
- Drilldown views
- Acknowledging alerts
- Configurazione
- Entercept, host sweep, scansione delle porte, semplici allarmi del superamento delle soglie
- Tab di risposta
- Compilazione delle proprietà degli attacchi: livello della policy e GARE
- Report sulle prove
- NSLookup
- File, drilldown, tool e Microsoft® Windows® Manager
- Stato di salute del sistema
- Preferenze
- Pannello con i dettagli e lista di controllo
- Configurazione e troubleshooting del proxy SSL
- Script: Contenuto
- JavaScript
- Troubleshooting della sintassi degli script
- Ciclo di vita di un allarme
- Lab: uso di Alert Viewer
- Lab: configurazione delle preferenze
- Lab: esame dello stato di salute del sistema
- Lab: esempio di scenario drilldown
Giorno 3
Panoramica
Diventate un esperto di prevenzione delle intrusioni grazie ai nostri laboratori pratici che simulano le situazioni del mondo reale e sfruttano al massimo il vostro investimento in McAfee IntruShield.
Generazione e visualizzatore di eventi
- Definizione della generazione di eventi
- Configurazione di Incident Generator Service
- Visualizzazione degli eventi
- Assegnazione del flusso di lavoro di Incident Viewer ad un utente
- Starting the generator service
- Configuring incident generator file
- Viewing incidents
- Viewer work overflow
- Lab: attivazione e avvio del servizio di generazione degli eventi
Report Generator
- Descrizione del tool Report Generator
- Definizione dell'output del report di configurazione
- Definizione dei report pianificati
- IDS, configurazione e report pianificati
- Lab: generazione dei report
Aggiornamento del server
- McAfee® Update Server
- Processo di aggiornamento delle firme
- Download del software e delle firme
- Aggiornamenti delle firme: polling e “pushing” pianificato
- Importazione
- Impostazione dell'autenticazione di aggiornamento del server
- Aggiornamento dei sensori
- Policy e configurazione
- Software
Amministrazione di sistema
- Descrizione dell'amministrazione e della configurazione del sistema
- Certificazione dell'utente
- Log di sistema
- Notifiche
- SNMP e invio del syslog
- Messaggi di errore del sistema
- Gestione delle porte non standard
- Impostazioni delle azioni di risposta
- Impostazioni avanzate TCP/IP
- Descrizione SSL
- Soppressione degli allarmi
- Task di manutenzione
- Integrazione di Entercept
Tuning di IntruShield
- Processo di tuning
- Identificazione dei falsi positivi
- Filtraggio
- Fasi di tuning
- Esempi di tuning
Troubleshooting
- Descrizione delle fasi di rafforzamento di IntruShield Manager
- Raccolta di suggerimenti per il troubleshooting dalla base di conoscenza di IntruShield
- Backup, ripristino e tuning del database
- Modifica dei parametri
- Aggiunta di utenti MySQL
Configurazione delle firme definite dall'utente
- Descrizione delle firme definite dall'utente (UDS, User Defined Signature)
- Descrizione dell'approccio IntruShield alle UDS
- Descrizione del processo di creazione di una UDS
- UDS configuration and editor
- Creating a new signature
- Lab: creazione di una UDS
Schedule and Registration
Visualizzate il programma del corso on-line e le informazioni per la registrazione.
