McAfee Intrushield 教育訓練

Course Details

課程代碼

TRN-INTV-101-TCL

期間

3 days

目標

• 安裝、設定和管理 McAfee® IntruShield® 感應器
• 安裝和設定 McAfee® IntruShield® Manager
• 設定監聽埠
• 變更外部/內部網路的通訊埠對
• 管理網域、使用者與角色
• 定義與設定 Alert Viewer 來檢視歷史性攻擊
• 定義與設定 Alert Viewer 來檢視歷史性記錄
• 深入 Alert Viewer 類別
• 啟用並開始事件產生器服務
• 說明如何產生三種類別的報告
• 利用政策編輯器與 Alert Viewer 管理政策
• 設定政策的過慮器
• 設定政策的 ACL
• 設定 VLAN 或 CIDR 介面
• 定義偵察政策
• 定義單一阻斷服務 (DoS) 政策
• 說明管理功能
• 說明如何設定 MDR
• 說明如何設定 RADIUS & LDAP 的驗證

必要條件

• 系統管理概念的實務知識
• 電腦安全概念的基本認識

Course Agenda

日 1

概觀

透過實際操作模擬現實世界的狀況而成為入侵防禦專家，並發揮 McAfee IntruShield 的最大效益。

McAfee IntruShield 概觀

• 趨勢：消失的邊界
• 不斷演化的威脅幅員
• 攻擊
• 偵測攻擊
• 何謂入侵偵測系統？
• IntruShield 感應器應用裝置
• IntruShield Security Management System
• IntruShield 架構
• IntruShield 功能和部署彈性
• 入侵防禦概觀

日 2

概觀

透過實際操作模擬現實世界的狀況而成為入侵防禦專家，並發揮 McAfee IntruShield 的最大效益。

原則

• 定義 IntruShield 政策
• 預期目標
• 何謂政策？
• 預先設定規則組與政策
• 政策的規則
• 攻擊類別與嚴重程度
• 感應器動作
• 通知
• 設定
• 警示過濾器編輯器
• 管理警示過濾器
• 規則組編輯器
• 管理規則組
• 新增規則組
• 規則組範例
• 根據攻擊名稱建立規則組
• 對建立 RFB 攻擊規則組加上註記
• 政策編輯器
• 管理政策
• 複製政策
• 套用規則組
• 自訂攻擊
• 攻擊搜尋能力
• 自訂攻擊強制做作
• 設定攻擊回應
• DoS：學習與臨界模式
• 設定偵察政策
• 攻擊說明
• 攻擊特徵
• 攻擊
• 非法流量警示
• 在管理程式介面中尋找政策
• 政策/警示過濾器：匯出/匯入
• 檢視套用的政策
• 重新指定套用政策
• 全域攻擊回應編輯器 (GARE)
• 客製化事件
• 彙集事件
• 實作：定義偵察政策
• 實作：政策調校
• 實作：重新指派政策

設定虛擬 IDS

• 定義虛擬 IDS
• 虛擬內部防火牆
• 內部防火牆防護
• 細微化政策管理
• VLAN/CIDR 邏輯法則概觀
• 通訊埠與介面
• 檢視介面詳細資訊
• 變更介面類型
• 新增 VLAN
• 定義與識別 VLAN 介面
• 套用政策與 VLAN
• VLAN 介面的詳細資訊
• 指定 VLAN 到子網域
• 建立與識別 VLAN 子介面
• 推送變更到感應器
• 定義 CIDR 介面
• 指定 CIDR 區塊
• 結合 CIDR 介面
• 配置 CIDR 子介面
• 新增範圍
• CIDR 區塊配置錯誤的範例
• 子介面詳細資訊
• VLAN 介面與 CIDR 限制
• 實作：建立 VLAN 與 CIDR 介面
• 實作：套用不同政策到多個子介面
• 實作：虛擬化實作
• 實作：介面群組實作

設定 ACL

• ACL 概觀
• 存取控制清單
• ACL 設定
• 典型 ACL 的優點
• 建立規則
• 新增 ACL
• 來源 IP/目的 IP
• 配對通訊協定/埠編號
• 回應動作
• 結構式 ACL 設定
• 感應器、通訊埠、介面、子介面規則
• SPAN 或側錄模式下的 ACL
• 登入與禁止登入 ACL
• 禁止範例
• ACL 建議事項
• 啟用 IP 位址反詐騙
• IP 詐騙偵測
• IP 詐騙 CIDR
• CIDR 替代方案
• IPv6 阻擋
• 實作：存取控制清單

設定 DoS

• 何謂分散式 DoS？
• IntruShield 對 Dos/DDoS 的作法
• DoS 政策與流量
• IntruShield DoS 防禦
• DoS/DDoS 攻擊工具與攻擊特徵
• 學習模式
• 回應嚴重性
• 短期設定檔
• 異常事件類別無法判定
• 大量異常事件：自我學習演算法
• 百分比
• 臨界模式、值與區間
• 管理 DoS 設定檔
• DDoS 偵測狀態
• 觀看 DoS 設定檔
• DoS 專有名詞與 DoS ID
• 自訂模式
• DoS ID 限制
• 說明如何新增 DoS 政策到子介面
• 管理 DoS/DDoS 回應動作
• DoS 偵測、設定檔和過濾
• 政策繼承
• 觀看 DoS/DDoS 警示：警示檢視器
• 實作：設定 DoS 政策
• 實作：阻斷服務

警示檢視器

• 定義 Alert Viewer
• 警示快取與資料庫
• 說明如何理解警示
• 說明如何排序警示
• 即時 vs. 歷史記錄
• 檢視器面板
• 下展檢視
• 通知警示
• 設定
• Entercept、主機掃描、通訊埠掃描，以及簡易臨界值警示
• 回應設定
• 編輯攻擊屬性：政策等級與 GARE
• 證據報告
• NSLookup
• 檔案、展開、工具與 Microsoft® Windows® Manager
• 系統健康狀況
• 偏好設定
• Detail 面板與觀看清單
• SSL 代理設定與問題排除
• 指令檔：內容
• JavaScript
• 問題排除指令檔語法
• 警示的生命週期
• 實作：使用 Alert Viewer
• 實作：設定偏好設定
• 實作：檢查系統健康狀態
• 實作：取樣展開的狀況

日 3

概觀

透過實際操作模擬現實世界的狀況而成為入侵防禦專家，並發揮 McAfee IntruShield 的最大效益。

事件產生和事件檢視器

• 定義事件的產生
• 定義 Incident Generator Service
• 觀看事件
• 指定 Incident Viewer 工作流程給使用者
• 產生器開始服務
• 設定事件產生器檔案
• 觀看事件
• 觀看工作流程
• 實作：建立和開始事件產生器服務

報告產生器

• 說明 Report Generator 工具
• 定義設定的報告輸出
• 定義排程的報告
• IDS、設定和排程產生的報告
• 實作：產生報告

更新伺服器

• McAfee® Update Server
• 攻擊特徵更新程序
• 下載軟體與攻擊特徵組
• 排程更新：輪選與排程進行「推播」作業
• 匯入
• 設定更新伺服器驗證作業
• 更新感應器
• 政策與設定
• 軟體

系統管理

• 說明系統管理與設定
• 使用者稽核
• 系統記錄
• 通知
• SNMP 與 syslog 轉送
• 系統錯誤訊息
• 管理非標準的通訊埠
• 回應動作設定
• 進階 TCP/IP 設定
• SSL 解密
• 警示禁止作業
• 維護作業
• Entercept 整合

調校 IntruShield

• 調校的程序
• 識別誤報
• 過濾
• 調校的步驟
• 調校範例

問題排除

• 說明強化 IntruShield Manager 的步驟
• 由 IntruShield 知識庫收集問題排除的技巧
• 備份、還原與調校資料庫
• 變更參數
• 新增 MySQL 使用者

設定使用者定義攻擊特徵

• 說明使用者定義攻擊特徵 (UDS)
• 說明 IntruShield 設定 UDS 的作法
• 說明建立 UDS 的程序
• UDS 設定和編輯器
• 建立新攻擊特徵
• 實作：建立 UDS

Schedule and Registration

檢視我們的線上課程時間表和註冊資訊。