Система защиты сервера Server Sensor

Код курса Т505, 1 день

Статус

Курсы по продуктам IBM Internet Security Systems (IBM ISS)

Аннотация

Данный учебный модуль, наряду с модулем Т501 “Система централизованного управления SiteProtector”, яявляется необходимой составляющей частью подготовки специалистов к работе с системой защиты сервера Server Sensor.
 В рамках курса рассматриваются основные возможности системы защиты серверных платформ. Специалисты получат знания, необходимые для установки серверного сенсора, конфигурирования его параметров и настройки применяемых к нему политик обнаружения атак. Курс содержит теоретическую часть и практические работы, иллюстрирующие возможности настройки серверного сенсора, использование сценариев на языке Tcl и применение механизма регулярных выражений.
 Курс подготовлен при активной поддержке компании IBM. При подготовке курса использованы материалы, предоставленные компанией IBM.

Аудитория

• Системные и сетевые администраторы, ответственные за безопасность компьютерных сетей, эксплуатацию средств обнаружения атак и анализа защищенности.
• Администраторы информационной безопасности.
• Эксперты и аналитики, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.

Предварительная подготовка

• Базовые знания по IP-сетям, основным протоколам и службам стека TCP/IP.
• Навыки работы с ОС Windows 2003, в частности, с подсистемой аудита.

В качестве предварительной подготовки рекомендуем курсы:

• БТ05 “Основы TCP/IP”
• БТ03 “Безопасность компьютерных сетей”
• БТ06 “Защита сетевого периметра”

  В результате обучения

  Вы приобретете знания:

  • архитектуры и принципов работы системы защиты серверных платформ Server Sensor;
  • методики тонкой настройки сигнатур серверного сенсора;
  • принципов работы модуля анализа протоколов (Protocol Analysis Module, РАМ);
  • механизмов реагирования, встроенных в серверный сенсор.

  Вы сможете

  • использовать механизм блокировки для защиты серверов от сетевых атак;
  • настраивать правила фильтрации трафика на защищаемом сервере;
  • обнаруживать события на основе анализа журналов операционной системы;
  • использовать язык регулярных выражений для настройки сигнатур серверного сенсора; разрабатывать и отлаживать простейшие сценарии на языке Tcl для расширения возможностей сигнатур серверного сенсора.

  Пакет слушателя

  Комплект учебных материалов.

  Дополнительно

  • Выпускники получают свидетельство об обучении Учебного центра “Информзащита”.
  • Выпускники могут получать бесплатные консультации специалистов Учебного центра в рамках пройденного курса.

  Программа курса

  • Установка серверного сенсора. Защитные механизмы, реализуемые серверным сенсором. Обзор системных требований для различных серверных платформ.
  • Настройка серверного сенсора. Политики по умолчанию для серверного сенсора и их назначение. Настройка событий, обнаруживаемых серверным сенсором. Настройка правил фильтрации трафика. Использование механизма блокировки.
  • Автоматизация процесса установки серверного сенсора. Создание сценария установки серверного сенсора. Установка сенсора по сценарию, особенности установки для различных платформ.
  • Операции с политиками серверного сенсора. Назначение и функции политик сенсоров в системе SiteProtector. Использование редактора Policy Editor для создания, просмотра и печати политик. Применение политики к отдельному сенсору и группе. Миграция политик.
  • События и механизмы реагирования. Типы механизмов реагирования. Настройка механизмов реагирования. Реакция сенсоров на повторяющиеся события. Настройка фильтрации повторяющихся событий с помощью механизма “Event Propagation”. Принципы работы механизма “Advanced Consolidation of Events (ACE)”.
  • Серверный сенсор “изнутри”. Файлы политик, используемые для “тонкой” настройки сенсора. Работа серверного сенсора с источниками данных. Protocol Analysis Module (РАМ) и принципы его работы.
  • Настройка пользовательских событий. Настройка событий для контроля журналов операционных систем Windows 2000/2003. Создание пользовательских событий для контроля log-файлов и подозрительных соединений. Использование механизма регулярных выражений для расширения возможностей сигнатур серверного сенсора. Механизм Fusion Scripting. Типы сценариев для серверного сенсора. Интеграция языка Tcl и серверного сенсора. Написание и отладка простейших сценариев на языке Tcl. Подключение сценариев к сигнатурам.

  Итоговый зачет