Система централизованного управления IBM Proventia Management SiteProtector system
Код курса Т501, 3 дня
Статус
Курсы по продуктам IBM
Аннотация
Система IBM Proventia Management SiteProtector system (далее SiteProtector) предназначена для централизованного управления средствами защиты в масштабе предприятия.
Данный курс содержит информацию по архитектуре системы, рекомендации по оптимальному размещению её компонентов, их конфигурированию, а также сведения по обслуживанию системы.
Значительная часть курса посвящена возможностям системы по сбору и анализу событий, детально рассмотрены основные приёмы работы с событиями безопасности, аспекты использования дополнительных утилит и инструментов.
Курс подготовлен при активной поддержке компании IBM. При подготовке курса использованы материалы, предоставленные компанией IBM.
Аудитория
Системные и сетевые администраторы, ответственные за безопасность компьютерных сетей, эксплуатацию средств обнаружения атак и анализа защищенности.
Администраторы информационной безопасности.
Эксперты и аналитики, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
Предварительная подготовка
Базовые знания по IP-сетям, основным протоколам и службам стека TCP/IP.
Навыки работы с ОС Windows 2003/XP.
В качестве предварительной подготовки рекомендуем курсы:
принципов и вариантов размещения компонентов системы SiteProtector в корпоративной сети;
способов сбора и упорядочивания информации о сети, об управлении информационными активами;
методологии анализа информации о произошедших в сети событиях с помощью системы SiteProtector;
принципов взаимодействия компонентов системы SiteProtector и сенсоров;
принципов работы компонентов системы SiteProtector;
о работе модуля Fusion и корреляции событий;
особенностей построения отказоустойчивых конфигураций.
Вы сможете:
устанавливать компоненты системы SiteProtector и обновления к ним;
использовать управляющую консоль системы SiteProtector для анализа событий и управления подключенными агентами;
управлять отображением информации о событиях, работать с фильтрами данных;
использовать механизмы инцидентов и исключений
выполнять экспорт данных и работать с отчетами, формируемыми системой SiteProtector;
выполнять “тонкую” настройку компонентов системы SiteProtector;
использовать с основной консолью дополнительные инструменты для управления системой и анализа собранных сенсорами данных;
настраивать модуль корреляции событий (Security Fusion Module);
осуществлять резервирование сайта.
Пакет слушателя
Комплект учебных материалов.
Дополнительно
Выпускники получают свидетельство об обучении Учебного центра “Информзащита”.
Выпускники могут получать бесплатные консультации специалистов Учебного центра в рамках пройденного курса.
Программа курса
Знакомство с системой SiteProtector. Назначение системы SiteProtector. Компоненты, входящие в состав системы SiteProtector. Архитектура системы SiteProtector, совместная работа компонентов при мониторинге корпоративной сети. Возможности системы по подключению агентов.
Установка системы SiteProtector. Варианты установки и дистрибутивы. Системные требования для различных вариантов установки SiteProtector. Отличия между вариантами установки. Типовые варианты развёртывания. Критерии выбора приемлемого варианта развёртывания. Практическая работа 1. Установка системы SiteProtector.
Работа с консолью SiteProtector. Запуск консоли SiteProtector и вход в систему. Концепция интерфейса консоли. Настройка параметров системы. Управление лицензиями. Работа с системой через Web portal. Практическая работа 2. Установка лицензий и настройка параметров системы.
Обновление компонентов SiteProtector. Типы и варианты поставки обновлений. Работа процесса обновления. Установка обновлений по расписанию. Удаление обновлений. Скачивание и установка обновлений «вручную». Развертывание собственного сервера обновлений. Практическая работа 3.Обновление компонентов SiteProtector.
Взаимодействие компонентов SiteProtector. Назначение и функции каналов взаимодействия между компонентами системы SiteProtector и агентами. Процедура аутентификации в системе SiteProtector. Ключи аутентификации, сеансовые ключи, процесс установления соединения между компонентами системы SiteProtector и агентами. Использование сертификатов SSL. Практическая работа 4. Установка и подключение агентов.
Разграничение доступа в системе SiteProtector. Объекты и субъекты доступа. Создание групп в системе SiteProtector. Назначение допусков уровня сайта (global permissions). Назначение допусков уровня группы (group-level permissions). Аудит действий пользователей. Практическая работа 5. Создание пользователя для выполнения операций по обслуживанию базы SiteProtector.
Управление информационными активами (Asset Management). Инвентаризация сетевых объектов. Управление диапазонами адресов информационных активов сайта. Взаимодействие с Microsoft Active Directory. Различные стратегии группировки компонентов SiteProtector и сетевых активов. Создание, переименование и удаление групп информационных активов. Добавление узлов к группе. Практическая работа 6. Проведение инвентаризации.
Мониторинг и анализ событий. Типы событий. Варианты отображения информации о произошедших событиях. Настройка вариантов просмотра. Просмотр и экспорт детальной информации о событии. Создание базовых фильтров данных. Удаление информации о событиях. Практическая работа 7. Базовые приёмы анализа событий.
Отчеты и дополнительные приёмы анализа событий. Работа с инцидентами и исключениями. Управление выводом информации о событиях. Режимы просмотра. Создание расширенных фильтров данных. Фиксация состояния и отслеживание изменений. Модуль генерации отчетов, формирование отчетов по расписанию. Практические работы 8,9. Создание инцидентов и исключений, формирование отчётов.
Система контроля выполнения заявок (SiteProtector Ticketing). Настройка параметров заявок. Создание и редактирование заявок (SiteProtector tickets). Просмотр журнала реагирования. Практическая работа 10. Использование системы контроля выполнения заявок.
Использование Security Fusion Module. Различные приёмы корреляции данных. Компоненты модуля Security Fusion и принципы их работы. Настройка параметров модуля Security Fusion. Просмотр и анализ результатов обработки событий модулем Security Fusion. Практическая работа 11. ИспользованиеSecurity Fusion Module.
Централизованное реагирование (Central Response). Архитектура Central Response. Сетевые объекты и объекты реагирования. Настройка правил реагирования. Параметры Central Response. Контроль работоспособности системы. Практическая работа 12. Работа с подсистемой централизованного реагирования.
Использование Event Archiver. Назначение компонента Event Archiver. Установка Event Archiver. Настройка параметров архивирования событий. Приёмы и инструменты поиска информации в созданном архиве. Практическая работа 13. Использование Event Archiver.
Сбор и анализ отладочной информации. Мониторинг статуса компонентов системы SiteProtector и сенсоров. Решение проблем взаимодействия компонентов. Использование утилиты Sensor Controller Diagnosis для контроля состояния компонентов и выполнения задач по управлению системой. Контроль использования оперативной памяти. Практические работы 14,15. Использование утилиты Sensor Controller Diagnosis. Включение диагностики Agent Manager. Обработка событий безопасности в системе SiteProtector, Принципы работы Event Collector.Просмотр событий с помощью Event Viewer. Практическая работа 16. Использование Event Viewer.
Установка SiteProtector на SQL Cluster. Установка компонентов SiteProtector на кластер SQL, использующий смешанный режим аутентификации. Установка компонентов SiteProtector на кластер SQL, работающий в режиме Windows authentication.
Обеспечение отказоустойчивости с помощью механизма SecureSync. Терминология: основной сайт (Primary site), резервный сайт (Secondary site), принципы работы SecureSync. Подготовка сайта к построению отказоустойчивой конфигурации. Настройка конфигурационных параметров. Переход на резервный сайт и обратно.
Обслуживание базы данных системы SiteProtector. Задачи по обслуживанию базы данных: дефрагментация, очистка, резервное копирование. Практическая работа 17. Обслуживание базы.