Система централизованного управления SiteProtector
Код курса Т501, 3 дня
Статус
Курсы по продуктам IBM Internet Security Systems (IBM ISS)
Аннотация
Освоение материала данного курса является обязательным при подготовке специалистов к работе с продуктами и решениями IBM ISS: Proventia Network IPS, Internet Scanner, Proventia МFS, Server Sensor, Proventia Server и Proventia Desktop, Network Sensor.
Система SiteProtector предназначена для централизованного управления продуктами IBM ISS в масштабе предприятия. В рамках практического курса рассматриваются основные возможности системы по управлению анализом защищенности узлов сети, процессом обнаружения и предотвращения атак. Слушатели получат знания, необходимые для оптимального размещения компонентов системы SiteProtector в корпоративной сети и их конфигурирования, изучат внутренние механизмы работы системы. В результате обучения специалисты приобретают знания, необходимые для понимания внутренних механизмов работы системы, а также навыки настройки централизованного реагирования, работы с модулем корреляции Fusion и построения отказоустойчивых конфигураций системы SiteProtector.
Курс содержит подробные сведения об архитектуре системы SiteProtector, взаимодействию ее компонентов с другими решениями IBM ISS и продуктами других компаний.
Курс подготовлен при активной поддержке компании IBM. При подготовке курса использованы материалы, предоставленные компанией IBM.
Аудитория
Системные и сетевые администраторы, ответственные за безопасность компьютерных сетей, эксплуатацию средств обнаружения атак и анализа защищенности.
Администраторы информационной безопасности.
Эксперты и аналитики, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
Предварительная подготовка
Базовые знания по IP-сетям, основным протоколам и службам стека TCP/IP.
Навыки работы с ОС Windows 2000/XP.
В качестве предварительной подготовки рекомендуем курсы:
принципов и вариантов размещения компонентов системы SiteProtector в корпоративной сети;
способов сбора и упорядочивания информации о сети, об управлении информационными активами;
методологии анализа информации о произошедших в сети событиях с помощью системы SiteProtector;
принципов взаимодействия компонентов системы SiteProtector и сенсоров;
принципов работы компонентов системы SiteProtector;
о работе модуля Fusion и корреляции событий;
особенностей построения отказоустойчивых конфигураций.
Вы сможете:
устанавливать компоненты системы SiteProtector и обновления к ним;
использовать управляющую консоль системы SiteProtector для анализа событий и управления подключенными агентами;
управлять отображением информации о событиях, работать с фильтрами данных;
использовать механизмы инцидентов и исключений
выполнять экспорт данных и работать с отчетами, формируемыми системой SiteProtector;
выполнять “тонкую” настройку компонентов системы SiteProtector;
использовать с основной консолью дополнительные инструменты для управления системой и анализа собранных сенсорами данных;
настраивать модуль корреляции событий (Security Fusion Module);
осуществлять резервирование сайта.
Пакет слушателя
Комплект учебных материалов.
Дополнительно
Выпускники получают свидетельство об обучении Учебного центра “Информзащита”.
Выпускники могут получать бесплатные консультации специалистов Учебного центра в рамках пройденного курса.
Программа курса
Знакомство с системой SiteProtector. Назначение системы SiteProtector. Компоненты, входящие в состав системы SiteProtector. Архитектура системы SiteProtector, совместная работа компонентов при мониторинге корпоративной сети. Возможности системы по подключению агентов.
Установка системы SiteProtector. Системные требования для различных вариантов установки SiteProtector. Схема лицензирования. Процедура аутентификации в системе SiteProtector. Отличия между вариантами установки. Критерии выбора приемлемого варианта установки.
Работа с консолью SiteProtector. Запуск консоли SiteProtector и вход в систему. Начальная настройка системы. Управление лицензиями. Управление диапазонами адресов информационных активов сайта. Работа с системой через Web portal.
Обновление компонентов SiteProtector. Типы обновлений для SiteProtector. Назначение обновлений для SiteProtector. Установка обновлений для SiteProtector и проверка правильности установки. Установка обновлений по расписанию. Удаление обновлений. Скачивание и установка обновлений “вручную”. Развертывание собственного сервера обновлений.
Разграничение доступа в системе SiteProtector. Создание групп в системе SiteProtector. Назначение допусков уровня сайта (global permissions). Назначение допусков уровня группы (group-level permissions).
Управление информационными активами. Инвентаризация сетевых объектов. Взаимодействие с Microsoft Active Directory. Различные стратегии группировки компонентов SiteProtector и сетевых активов. Создание, переименование и удаление групп. Добавление узлов к группе.
Управление компонентами SiteProtector. Настройка параметров компонентов. Мониторинг статуса компонентов системы SiteProtector и сенсоров. Решение проблем взаимодействия компонентов.
Мониторинг и анализ событий. Принципы сбора данных о событиях в системе SiteProtector. Варианты отображения информации о произошедших событиях. Просмотр и экспорт детальной информации о событии. Создание базовых фильтров данных. Работа с инцидентами и исключениями. Удаление информации о событиях.
Отчеты и расширенный анализ событий. Управление выводом информации о событиях. Создание расширенных фильтров данных. Фиксация состояния и отслеживание изменений. Генерация отчетов, формирование отчетов по расписанию.
Управление политиками SiteProtector. Назначение политик. Типы политик, поддерживаемых SiteProtector. Иерархическая структура политик и механизм наследования. Работа с репозиториями.
Система контроля выполнения заявок (SiteProtector Ticketing). Настройка параметров заявок. Создание и редактирование заявок (SiteProtector tickets). Просмотр журнала реагирования.
Взаимодействие компонентов SiteProtector. Ключи аутентификации, сеансовые ключи и процесс установления соединения между компонентами системы SiteProtector и сенсорами. Назначение и функции каналов взаимодействия между Application Server, другими компонентами системы SiteProtector и сенсорами. Использование утилиты Sensor Controller Diagnosis для контроля состояния компонентов и выполнения задач по управлению системой. Контроль использования оперативной памяти. Использование программы Event Viewer.
Установка SiteProtector на SQL Cluster. Установка компонентов SiteProtector на кластер SQL, использующий смешанный режим аутентификации. Установка компонентов SiteProtector на кластер SQL, работающий в режиме Windows authentication.
Использование Security Fusion Module. Различные приёмы корреляции данных. Компоненты модуля Security Fusion и принципы их работы. Установка модуля Security Fusion. Настройка параметров модуля Security Fusion. Просмотр и анализ результатов обработки событий модулем Security Fusion.
Обеспечение отказоустойчивости с помощью механизма SecureSync. Терминология: основной сайт (Primary site), резервный сайт (Secondary site), принципы работы SecureSync. Подготовка сайта к построению отказоустойчивой конфигурации. Настройка конфигурационных параметров. Переход на резервный сайт и обратно.
Настройка сетевых объектов и объектов реагирования. Настройка объектов реагирования Настройка сетевых объектов Управление объектами.
Централизованное реагирование (Central Response). Архитектура Central Response. Порядок настройки централизованного реагирования. Параметры Central Response.
Использование Event Archiver. Назначение компонента Event Archiver. Настройка параметров архивирования событий.
Обслуживание базы данных системы SiteProtector. Задачи по обслуживанию базы данных: дефрагментация, очистка, резервное копирование.