Capacitación sobre McAfee Intrushield

Course Details

Código del curso

TRN-INTV-101-TCL

Duración

3 days

Objetivos

• Instalar, configurar y administrar sensores de McAfee® IntruShield®
• Instalar y configurar McAfee® IntruShield® Manager
• Configuración de puertos de monitoreo
• Cambiar el par de puertos de la red externa/interna
• Administrar dominios administrativos, usuarios y roles
• Definir y configurar el Visor de alertas para ataques históricos
• Definir y configurar el Visor de alertas en ataques históricos consolidados
• Detallar en categorías de Visor de alertas
• Habilitación e inicio del servicio generador de incidentes
• Describir la forma de generar las tres categorías de informes
• Administrar políticas con el editor de políticas y Visor de alertas
• Configurar filtro de políticas
• Configurar ACL en políticas
• Configurar una interfaz VLAN o CIDR
• Definir una política de reconocimiento
• Definir una política única de Denegación de servicio (DoS)
• Describir funciones administrativas
• Describir la forma de configurar MDR
• Describir la forma de configurar autenticación de RADIUS & LDAP

Requisitos previos

• Conocimiento práctico de conceptos de administración de sistemas
• Comprensión básica de conceptos de seguridad computacional

Course Agenda

Día 1

Visión General

Conviértase en un experto en prevención de intrusos a través de laboratorios que simulan situaciones del mundo real y obtenga el máximo provecho de su inversión en McAfee IntruShield.

Visión general de McAfee IntruShield

• Tendencia: el perímetro que se desvanece
• El panorama de amenazas en evolución
• Ataques
• Detección de ataques
• ¿Qué es un sistema de detección de intrusos?
• Dispositivos sensores de IntruShield
• Sistema de administración de seguridad IntruShield
• Arquitectura de IntruShield
• Características y flexibilidad de implementación de IntruShield
• Visión general sobre la prevención de intrusos

Día 2

Visión General

Conviértase en un experto en prevención de intrusos a través de laboratorios que simulan situaciones del mundo real y obtenga el máximo provecho de su inversión en McAfee IntruShield.

Políticas

• Definir una política de IntruShield
• Expectativas
• ¿Qué es una política?
• Conjuntos de reglas y políticas preconfigurados
• Reglas para políticas
• Categorías de ataques y rango de gravedad
• Acciones de sensor
• Notificaciones
• Configuración
• Editor de filtro de alertas
• Administración de filtros de alertas
• Editor de conjunto de reglas
• Administración de conjuntos de reglas
• Adición de un conjunto de reglas
• Ejemplo de conjuntos de reglas
• Construcción de conjuntos de reglas por nombres de ataques
• Una nota en la ataques de RFB de conjunto de reglas
• Editor de políticas
• Administración de políticas 
• Clonación de una política
• Aplicación de conjuntos de reglas
• Personalización de ataques de exploits
• Capacidades de búsqueda de ataques
• Personalización de aplicación de ataques de exploit
• Establecimiento de respuestas para ataques
• DoS: Aprendizaje y modos de umbrales
• Configurar una política de reconocimiento
• Descripciones de ataque
• Firmas
• Ataques
• Alertas de flujo no válidas
• Cómo encontrar políticas en la interfaz de Manager
• Filtros de políticas/alerta: Exportación/importación
• Ver políticas aplicadas
• Reasignación de políticas aplicadas
• El editor de respuestas de ataques globales (GARE)
• Indicación de personalización
• Cómo reunir todo
• Laboratorio: Definir una política de reconocimiento
• Laboratorio: Ajuste de políticas
• Laboratorio: Reasignar una política

Configuración de IDS virtual

• Definir un IDS virtual
• Firewall interno virtual
• Protección de firewall interno
• Administración de políticas detalladas
• Visión general de diagrama lógico de VLAN/CIDR
• Puerto frente a interfaz
• Ver detalles de la interfaz
• Cambiar tipo de interfaz
• Agregar VLANs
• Definir y verificar interfaces VLAN
• Políticas aplicadas y VLAN
• Detalles de una interfaz VLAN
• Asignación de una VLAN a un dominio "hijo"
• Creación y verificación de una subinterfaz VLAN
• Ejecutar cambios en un sensor
• Definición de interfaz CIDR
• asignación de un bloqueo de CIDR
• Combinación de una interfaz de CIDR
• Ubicación de una subinterfaz de CIDR
• Agregar un rango
• Ejemplo de un error de asignación de bloqueo de CIDR
• Detalles de la subinterfaz
• Límites de interfaz VLAN y CIDR
• Laboratorio: Creación de una interfaz VLAN y CIDR
• Laboratorio: Aplicación de diferentes políticas varias subinterfaces
• Laboratorio: Laboratorio de virtualización
• Laboratorio: Laboratorio de grupo de interfaz

Configuración de ACL

• Visión general de ACL
• Listas de control de acceso
• Configuración de ACL
• ventajas sobre una ACL típica
• Creación de reglas
• Adición de ACL
• IP de origen/IP de destino
• Adecuación de protocolo/número de puerto
• Acción de respuesta
• Configuración de ACL jerárquica
• Reglas de sensor, puerto, interfaz y subinterfaz
• ACL en modo Span o Tap
• Inicio de sesión y supresión de inicio de sesión de ACL
• Ejemplo de supresión
• Recomendaciones para ACL
• Habilitación contra imitaciones de dirección IP
• Detección de imitaciones de IP
• CIDR de imitación de IP
• Alternativa a CIDR
• Bloqueo de IPv6
• Laboratorio: Listas de control de acceso

Configuración de DoS

• ¿Qué es la distribución de DoS?
• Enfoque de IntruShield de DoS/DDoS
• Política y tráfico de DoS
• Prevención de DoS con IntruShield
• herramienta de ataque DoS/DDoS y firmas de expoits
• Modo de aprendizaje
• Definiciones de la respuesta
• Perfil de corto plazo
• Desequilibrio de anomalías por categoría
• Anomalías de volumen: Algoritmo de autoaprendizaje
• Percentiles
• Modo de umbral, valor e intervalo
• Administrar perfiles de DoS
• Estado de detección de DDoS
• Ver perfiles de DoS
• Terminología de DoS e ID de DoS
• Personalización de modos
• Límites de ID de DoS
• Describir cómo agregar políticas de DoS a subinterfaces
• Administrar acciones de respuesta de DoS/DDoS
• Detección, perfiles y filtros de DoS
• Políticas heredadas
• Ver una alerta de DoS/DDoS: Visor de alertas
• Laboratorio: Configuración de políticas de DoS
• Laboratorio: Denegación de servicios

Visor de alertas

• Definir Visor de alertas
• Caché de alerta y base de datos
• Describir cómo acusar recibo de alertas
• Describir cómo seleccionar alertas
• Tiempo real e histórico
• Paneles de visualización
• Vistas detalladas
• Acuse de recibo de alertas
• Configuración
• Entercept, sweep de host, escaneo de puertos y alertas de umbral simples
• Ficha de respuesta
• Edición de propiedades de ataque: Nivel de política y GARE
• Informe de evidencia
• NSLookup
• Archivo, desglose, herramientas y Microsoft® Windows® Manager
• Estado del sistema
• Preferencias
• Panel de detalles y lista de vigilancia
• Configuración y solución de problemas de proxy de SSL
• Scripts: Contenido
• JavaScripts
• Solución de problemas de síntesis de scripts
• Ciclo de vida de una alerta
• Laboratorio: Trabajar con el Visor de alertas
• Laboratorio: Configurar preferencias
• Laboratorio: Examinar estado del sistema
• Laboratorio: Escenario de desglose de muestras

Día 3

Visión General

Conviértase en un experto en prevención de intrusos a través de laboratorios que simulan situaciones del mundo real y obtenga el máximo provecho de su inversión en McAfee IntruShield.

Generación de incidentes y Visor de incidentes

• Definir generación de incidentes
• Configurar el Servicio generador de incidenets
• Visualización de incidentes
• asignación de flujo de trabajo de Visor de incidentes a un usuario
• Inicio del servicio de generador
• Configuración del archivo del generador de incidentes
• Visualización de incidentes
• Desbordamiento del visor de trabajo
• Laboratorio: Habilitación e inicio del servicio generador de incidentes

Generador de informes

• Describir la herramienta Generador de informes
• Definir el producto de informes de configuración
• Definir informes programados
• IDS, configuración e informes programados
• Laboratorio: Generación de informes

Servidor de actualizaciones

• McAfee® Update Server
• Proceso de actualización de firmas
• Descarga de software y conjuntos de firmas
• Programación de actualizaciones: Sondeo y "pushing" programados
• Importación
• Establecimiento de autenticación de servidor de actualización
• Actualización de sensores
• Política y configuración
• Software

Administración de sistemas

• Describir la administración y configuración del sistema
• Auditoría de usuario
• Inicio de sesión del sistema
• Notificaciones
• SNMP y redireccionamiento de syslog
• Mensajes de falla de sistemas
• Administración de puertos no estándar
• Configuraciones de acción de respuesta
• Configuraciones avanzadas de TCP/IP
• Desencriptación de SSL
• Supresión de alertas
• Tareas de mantenimiento
• Integración de Entercept

Ajuste de IntruShield

• Proceso de ajuste
• Identificación de falsos positivos
• Filtro
• Pasos para el ajuste
• Ejemplos de ajuste

Solución de problemas

• Describir pasos para fortalecer IntruShield Manager
• Reunir información sobre solución de problemas de la base de conocimientos de IntruShield
• Respaldo, restauración y ajuste de la base de datos
• Cambio de parámetros
• Adición de usuarios de MySQL

Configuración de firmas definidas por el usuario

• Describir firmas definidas por el usuario (UDS)
• Describir enfoque de IntruShield hacia UDS
• Describir el proceso de creación de una UDS
• Configuración y editor de UDS
• Creación de una nueva firma
• Laboratorio: Creación de una UDS

Schedule and Registration

Revise el programa de cursos en línea y la información de registro.