Symantec kurs

Dette er et avansert feilsøkingskurs for SEP 11.x. Etter gjennnomført kurs skal du du være i stand til:

 Beskrive de interne komponentene i SEP
 Beskrive SEP lokale prosesser på maskinen
 Klient kommunikasjon oversikt
 Heartbeat mekanismen
 Innhold og produkt oppdaterings mekanismen
 Hvordan SEP integrerer med nettverks stacken
 Brannvegg arkitektur og traffikk bearbeidingen
 Smart trafikk filter
 Klient kontroll
 Logg begrensning, aktiv respons og host exclusion.
 Driver level protection  
 NetBIOS protection
 Anti-MAC spoofing
 TCP resequencing
 Intrusion prevention
 False positives and negatives
 Auto location switching and sensing
 Skannning for virus og sikkerhets trusler
 Reaksjoner på sikkerhetstrusler
 Sentrale unntak
 ccEraser kernel mode håndtering
 Fjerning av unicode trusler
 TruScan og tamper protection
 Device control og application control

System og sikkerhets administratorer som arbeider med å
feilsøke klient problemer.

Symantec Endpoint Protection 11.x Administration eller tilsvarende.

Hva du vil lære:
I dette kurset vil du lære om avansert feilsøking i SEP 11.
Dette kurset gjennomgår i dybden hvordan de interne prosessene arbeider og
kommuniserer. Kurset går i dybden i emner om brannveggen og IPS komponentene.

Tilegnet kunnskap:
 Beskrive interaksjon mellom komponentene
 Beskrive lokal XML oversetting
 Liste opp klient posessene
 Beskrive  heartbeat kommunikasjonen i detalj mellom klienten
 og SEP manager, inkludert identifisering av sjekkpunkter.
 Beskrive hvordan SEP komponentene intergrerer med Windows nettverks  stacken
 Arbeide med brannvegg regler og feilsøke overlappende regler.
 Arbeide med smart traffic filters.
 Beskyttelse mot Dos angrep, NetBios angrep, anti MAC spoofing og anti-IP spoofing
 Beskrive forskjellen mellom den pakke basert IPS motoren, og stream based IPS motoren.
 Beskrive hvordan begge IPS motorene integrerer med Windows nettverks stacken.
 Beskrive auoto location skifting logikken.
 Skanning, og respons for antivirus og sikkerhets trusler.
 Hvordan TrueScan fungerer
 Arbeide med device control og application control
 
 
Kursoversikt

Del 1 -Klient arkitektur

 Diagram for Client arkitekturen
 Spore tilkoplinger mellom klient komponentene
 Beskrive interaksjonen mellom klient komponentene
 Beskrive lokal XML konvertering
 Liste klient prosessene
 
Del 2 - Heartbeat Internals

 Diagram: kommunikasjon mellom klient og konsoll,
 og identifisere web kommandoene.
 Velge og benytte verktøy for å observere heartbeat
 Observere overføring av konfigurasjonsfiler til klienten.
 Se på produkt og innholdsoppdatering flyten ved å observere ved heartbeat
 Observere flyten av status og posting av logger til SEPM.
 Se på betingelser for registrering av klient.
 Observere heartbeat for registrering.
 Spore flyten av kommando prosessering.
 Liste kommando prosessering og resulterende virkning.
 Sammenlikne push og pull moduser, og identifisere push og pull kommunikasjon. 
 
Del 3 - Klient brannvegg arkitektur

 Beskrivelse av generell funksjonalitet i WinSock, TDI og NDIS lagene
 Idenifisere på et stablediagram, SEP 11 nettverksdrivere, og forklare hvordan disse driverne integrerer med Windows.
 Liste alle SEP 11 klient servicer og prosesser som tilhører IPS og
 brannveggen.  
 
Del 4 - Brannvegg Policy - Regler og filter

 Beskrive den generelle rekkefølgen av operasjoner når brannveggen
 mottar en pakke.
 Beskrive de forskjellige brannveggsreglene, og hvordan de prosesseres.
 Beskrive hvordan hver av de tre Smart Filtrene fungerer.
 Liste opp de tre klient Control modusene.
 Liste opp de tre forskjellige typene av Network Threat Protection logger.

Del 5 - Brannvegg Policy - Tillegg

 Beskrive basis funksjonalitetet for disse funksjonene
 Liste hvilke typer av drivere som oppdages av Driver Level protection.
 Liste protokoller og tillatte addresse områder som tillates av NetBIOS Protection.
 Beskrive hvordan MAC spoofing virker, og SEP 11 responsen til dette.
 Liste basis typer av IP spoofing og identifisere hvilke typer angrep SEP 11.x vil beskytte mot.
 Liste header variable for HTTP spørringer som er berørt ved Stealth Mode Browsing.
 Beskrive hvordan OS Fingerprint Masquerading kan hjelpe tiil med å beskytte mot fingerprinting applications.
 Beskrive tre forskjellige DoS angrep, og hvordan disse detekteres.
 Beskrive hvordan Port Scan Detection modulen detekterer et Port Scan angrep.

Del 6 - Network Threat Protection

 Beskrive hovedforskjellen mellom stream og pakke-basert IPS engines.
 Konfigurere IPS Policy settinger ved bruk av SEPM og klient grensesnittet.
 Lage egne IPS signaturer ved bruk av SEPM.
 Bruke klient eller SEPM logger sammenstil med Symantec Security webstedet for å  bestemme en mulig årsak til en signatur hendelse.
 Beskrive hva som er en false positive, og hvordan man responderer til denne typer hendelser.
 Beskrive hva som er en false negative, og hvordan man responderer til denne typer hendelser.

Del 7 - Auto Location Switching
 
 Beskrive Auto Location Sensing og Switching.
 Beskrive prosessen for å konfigurere lokasjoner.
 Beskrive hvordan forstå komplekse lokasjons settinger.
 Sjekke loger for lokasjons aktivitet.

Del 8 - AV Skanning and Respons

 Forstå hvordan skanning fungerer grunnleggende. Identifisere de forskjellige
 typer av skan og deres logiske flyt.
 Forstå spesielle tilfeller forbundet med Auto-Protect
 Kjenne til egenskaper tilknyttet til epost skanning
 Beskrive hvordan SEP responderer til detektere trusler.
 Forstå hvordan karantene fungerer
 Forklare side effects repair og restoration functions
 Beskrive hvordan SEP beskytter HOSTS fila

Del 9 - Nye AV funksjoner

 Ekskludering av deteksjoner ved å benytte Central Exception handling
 Beskrive forbedringene i detektering av spyware og fjerning.
 Forstå hvorfor ccEraser får en større viktighet i reparering av trusler.
 Forklare forbedringene hvordan SEP 11.0 håndterer Unicode trusler.

Del 10 - Proactive Threat Protection og Tamper Protection

 Forstå grunnleggende hvordan TruScan Proactive fungerer.
 Beskrive TruScan Proactive Threat Scan arkitekturen, og hvordan den er integrert med SEP produktet
 Beskrive tamper protection og dens hensikt.

Del 11 - Device Control

 Liste de forskjellige komponentene i device control, og beskrive generellt hvordan device control er utført.
 Liste de grunnleggende komponentene i application control, og beskrive hvordan de fungerer
 Beskrive nye funksjoner fra og med MR2 for application og device control. 

Deltakerne vil motta kursbevis ved gjennomført kurs.