IDS SNORT

4Bios IT Academy

Sobre o Curso

O treinamento Snort, ferramenta OpenSource é um sistema de detecção de problemas de segurança (NIDS) que analisa o tráfego de rede para prevenir incidentes de segurança bem sucedidos. O objetivo deste treinamento é ensinar os passos inicias para instalação do IDS Snort e ferramentas auxiliares para manter o sistema atualizado e funcionando. Será abordado também os tipos de ataques, tais como buffer overflows, stealth port scans, ataques CGI, SMB probes, OS fingerprinting, entre outros.

O treinamento completo visa ensinar ao profissional o real funcionamento do snort, demonstrando e explicando o funcionamento de protocolos além das funcionalidades, combinando fortemente a teoria e a prática.

Ao final do treinamento o aluno entenderá o funcionamento pleno do snort, bem como melhores práticas e performance. Além disso entenderá melhor os alertas pois saberá como ler as regras e entender o que foi detectado deixando a resposta ao incidente ainda mais rápida.

Conteúdo Programático

Conceitos
Premissas de segurança
NDIS, HIDS, WIDS, KIDS
Incidentes de segurança
Funcionamento do Snort

Instalação
Configuração
Assinaturas
Ambiente de segurança
Criação de regras

Mantendo as regras do Snort atualizadas com o Pulledpork
Entendendo como o pulledpork funciona
Sniffer
Packet Logger
Nids
Inline
Atualizando regras plain-text e so _rules
Conseguindo e lendo pcaps

Configurando o SNORT
Includes
Variavéis
Configurações
Diretivas de configuração
Decoder e Pre-Processadores de regras
Pre-Processadores (overview)
Modulos de Saída
syslog
fast
full
tcpdump
database
csv
unified/unified2

Entendendo Regras do Snort (Básico)
Formato
Exemplos regras

Ferramentas Auxiliares / Laboratórios
Snort
Entendo as opções do snort
Instalando Snort
Rodando os snort em diferentes modos (sniffer, packet logger, nids)
Utilizando as opções de linha de comando

IDS Policy Manager
Instalando IDSPM
Configurando IDSPM
Administrando multiplos sensores

Relatórios de Ataques
Instalando o BASE
Entendendo e gerando relatórios

Basico Criação de Regras
Analisando um tráfego tcpdump
Criando a regra
Testando no seu snort

Instalando sguil
Cliente
Server
Monitoramento

Analisando falsos positivos
Analisando alertas do BASE
Diferenciando ataques de falsos positivos (analise de payload)

Oinkmaster Hacking
Mantendo as regras atualizadas

Tunning dos Pre-Processadores
Frag3
Stream5
sfPortscan
Performance Monitor
http_inspect
FTP/Telnet
SMTP
ARP Spoof

Thresholding e Supression de Eventos
Criando Thresholding
Criando Supression

Analisando a performance do snort
Regras
Pre-Processadores
Pacotes

Modulos de Saída
Utlizando o barnyard

Tabela de Atributo de host
Configurando e utilizando

Utilizando o snort para monitorando de violação de politicas
Proxy
Firewall
Anti-Virus

Melhores práticas de posicionamento
TAP's
Port Mirroring
Inline
Bridge

Avançado sobre regras do snort
Criando uma sandbox e analisando um malware
PCRE
Byte_jump
Byte_test
Melhores práticas
Laboratórios
Configurando pre-processadores
Criando supression
Analise avançada de um incidente
Capacity Planning
Configurando e Analisando os resultados da analise de performance
Regras
Pre-Processadores
Pacotes

Pré-Requisitos

Pré-Requisitos

  • Bons conhecimentos de Linux, e do protocolo TCP/IP.

Público Alvo

Público Alvo

  • Este treinamento é destinado a profissionais que trabalham com servidores e redes críticas e que planejam otimizar a infraestrutura identificando potenciais ameaças, assim como os riscos de seu negócio.

Carga Horária

Carga Horária

  • Presencial
  • 40 horas

Turmas

Turmas

  • Semanal: 5 dias (seg a sex) das 9hs às 18hs.

Em Breve! Está interessado?

Avisaremos quando uma nova turma estiver disponível!

© 4Bios

by nerit