4 дня

3.0

Данный курс посвящен решению Snort, которое обладает открытым исходным кодом и используется для построения системы детектирования вторжений в инфраструктуру. Обучение содержит всю информацию для полного цикла планирования, внедрения и дальнейшего обслуживания системы Snort. В ходе курса разбирается базовый синтаксис правил и дополнительные расширенные опции, особенности использования OpenAppID, инструменты мониторинга производительности системы и инструменты для эффективного устранения неполадок.

После прохождения этого обучения вы сможете:

• Объяснить, для чего используется движок Snort
• Устанавливать Snort в ОС Linux
• Сравнивать режимы работы Snort
• Понимать, как Snort детектирует проникновение
• Обновлять списки правил Snort
• Работать с файлом snort.conf
• Использовать Snort в inline-режиме
• Понимать синтаксис правил Snort
• Описывать, как трафик обрабатывается движком Snort
• Понимать, что такое OpenAppID
• Следить за нагрузкой и оптимизировать работу правил

1. Обзор технологии Snort

• Основы Snort
• Обзор возможностей и ресурсов

2. Внедрение Snort

• Предварительные требования для установки
• Процедура установки

3. Принципы работы Snort

• Запуск Snort из командной строки
• Автоматический запуск

4. Работа с правилами

• Списки правил
• Pulled Pork

5. Базовая настройка

• Работа с файлом snort.conf
• Настройки препроцессора

6. Настройка функций для работы в режиме Inline

• Шаги настройки
• Специальные функции

7. Обзор синтаксиса правил

• Базовый синтаксис
• Дополнительные опции

8. Процесс обработки трафика движком Snort

• Исследование процесса обработки трафика

9. Расширенные возможности правил

• PCRE
• Защита контента
• Byte Options
• Flowbits
• Детектирование файлов

10. OpenAppID

• Исследование препроцессора OpenAppID
• События и статистика
• Детекторы приложений

11. Оптимизация работы Snort

• Мониторинг производительности
• Фильтры для правил
• BPF
• Профили производительности