Network Sensor

Код курса Т508, 1 день

Статус

Курсы по продуктам IBM Internet Security Systems (IBM ISS)

Аннотация

Данный учебный модуль, наряду с модулем Т501 “Система централизованного управления SiteProtector”, является необходимой составляющей частью подготовки специалистов к работе с системой обнаружения сетевых атак Network Sensor.
 В рамках практического курса рассматриваются основные возможности системы обнаружения сетевых атак Network Sensor. Курс содержит полные сведения по архитектуре сетевого сенсора, назначению входящих в его состав функциональных модулей и их настройке. Специалисты получат знания, необходимые для внедрения и начального конфигурирования сетевого сенсора в корпоративной сети, навыки управления сенсором с помощью системы SiteProtector, а также навыки мониторинга и анализа событий, обнаруживаемых сетевым сенсором.
 Курс подготовлен при активной поддержке компании IBM. При подготовке курса использованы материалы, предоставленные компанией IBM.

Аудитория

• Эксперты и аналитики, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.

Предварительная подготовка

• Базовые знания по IP-сетям, основным протоколам и службам стека TCP/IP.
• Навыки работы с операционными системами Windows XP/2003.
• Навыки работы с системой SiteProtector.

В качестве предварительной подготовки рекомендуем курсы:

• БТ05 “Основы TCP/IP”
• БТ03 “Безопасность компьютерных сетей”
• БТ06 “Защита сетевого периметра”

В результате обучения

Вы приобретете знания:

• технологий обнаружения сетевых атак, реализованных в сетевом сенсоре;
• типовых схем подключения сетевого сенсора;
• состава политик обнаружения атак и противодействия им;
• особенностей работы различных механизмов реагирования, поддерживаемых сетевым сенсором.

Вы сможете

• выполнять установку и базовую настройку сетевого сенсора;
• настраивать стандартные и пользовательские сигнатуры;
• работать с фильтрами;
• настраивать различные конфигурационные параметры сетевого сенсора;
• выполнять настройку механизмов реагирования.

Пакет слушателя

Комплект учебных материалов.

Дополнительно

• Выпускники получают свидетельство об обучении Учебного центра “Информзащита”.
• Выпускники могут получать бесплатные консультации специалистов Учебного центра в рамках пройденного курса.

Программа курса

• Установка сетевого сенсора. Назначение и возможности сетевого сенсора. Способы подключения сетевого сенсора. Скрытый режим работы. Установка и обновление сетевого сенсора. Выбор драйвера сетевого адаптера.
• Настройка сетевого сенсора. Политики по умолчанию для сетевого сенсора, их назначение и состав. Настройка параметров сенсора.
• Использование стандартных сигнатур для обнаружения сетевых атак. Принципы работы модуля анализа протоколов. Типы сигнатур. Настройка параметров сигнатур.
• Настройка пользовательских событий. Сигнатуры для контроля трафика прикладного уровня. Использование механизма регулярных выражений. Контроль содержимого трафика, использование сенсора для контроля утечки критичной информации.
• Работа с механизмами реагирования. Обзор стандартных (предопределенных) механизмов реагирования. Понятие объекта реагирования. Настройка дополнительных механизмов реагирования. Оповещение по электронной почте, SNMP, реконфигурация межсетевого экрана. Разрыв ТСР-соединения.
• Настройка фильтров. Фильтрация обрабатываемого трафика. Фильтры для механизмов реагирования. Реакция сенсора на повторяющиеся события. Настройка фильтрации повторяющихся событий с помощью механизма Event Propagation. Принципы работы механизма Advanced Consolidation of Events (ACE).
• Подключение сигнатур Snort IDS. Краткое знакомство с системой обнаружения атак Snort. Формат сигнатур snort. Возможности сетевого сенсора по подключению сигнатур snort. Выявление причин ошибок, связанных с использованием сигнатур snort.

Итоговый зачет