O Snort é um NIDS, capaz de ser colocado de forma ativa ou passiva que pode ser instalado nos mais diversos ambientes. O Snort é um dos mais bem sucedidos projetos Opensource e é mantido por uma das mais respeitadas empresas do ramo. Abaixo os treinamentos oferecidos pela Dynsec, assim como a grade do treinamento. Para mais informações sobre treinamentos, datas e valores envie email para treinamento@dynsec.com.br.
Descrição: Com intuito de ensinar os passos inicias para instalação do IDS snort e ferramentas auxiliares para manter o funcionamento e sistema atualizado.
Pré-requisitos: Bons conhecimentos em Linux e protocolo TCP/IP
Carga Horária: 24 horas
Grade:
1. Mundo IDS ( NDIS, HIDS , WIDS , KIDS)
2. Tipos de ataques
3. Básico TCP/IP
4. Overview Snort
4.1. MOdos funcionamento
4.1.1. Sniffer
4.1.2. Packet Logger
4.1.3.. Nids
4.1.4.. Inline
4.2. Obfuscando ip's de saída
4.3. Conseguindo e lendo pcaps
6. Configurando o SNORT
6.1. Includes
6.1.1. Variavéis
6.1.2. Configurações
6.2. Diretivas de configuração
6.3. Decoder e Pre-Processadores de regras
6.4. Pre-Processadores (overview)
6.5. Modulos de Saída
6.5.1. syslog
6.5.2. fast
6.5.3. full
6.5.4. tcpdump
6.5.5. database
6.6.6. csv
6.6.7. unified/unified2
7. Entendendo Regras do Snort (Básico)
7.1. Formato
7.2. Exemplos regras
8. Ferramentas Auxiliares / Laboratórios
8.1. Snort
8.2. Entendo as opções do snort
8.3. Instalando Snort
8.4. Rodando os snort em diferentes modos (sniffer, packet logger, nids)
8.5. Utilizando as opções de linha de comando
9. IDS Policy Manager
9.1. Instalando IDSPM
9.2. Configurando IDSPM
9.3. Administrando multiplos sensores
10. Relatórios de Ataques
10.1. Instalando o BASE
10.2. Entendendo e gerando relatórios
11. Basico Criação de Regras
11.1. Analisando um tráfego tcpdump
11.2. Criando a regra
11.3. Testando no seu snort
12. Instalando sguil
12.1. Cliente
12.2. Server
12.3. Monitoramento
13. Analisando falsos positivos
13.1. Analisando alertas do BASE
13.2. Diferenciando ataques de falsos positivos (analise de payload)
14. Oinkmaster Hacking
14.1. Mantendo as regras atualizadas
Descrição: Treinamento avançado para escrita de regras, a partir de coletas de dados e análise de protocolos, tuning de pré-processadores, analise de performance para otimização do IDS conforme ambiente.
Pré-requisitos: Conhecimento em Snort e protocolos TCP/IP
Carga Horária: 16 horas
Grade:
1. Tunning dos Pre-Processadores
1.1. Frag3
1.2. Stream5
1.3. sfPortscan
1.4. Performance Monitor
1.5. http_inspect
1.6. FTP/Telnet
1.7. SMTP
1.8. ARP Spoof
2. Thresholding e Supression de Eventos
2.1.Criando Thresholding
2.2.Criando Supression
3. Analisando a performance do snort
3.1. Regras
3.2. Pre-Processadores
3.3. Pacotes
4. Modulos de Saída
4.1.Utlizando o barnyard
5. Tabela de Atributo de host
5.1. Configurando e utilizando
6. Utilizando o snort para monitorando de violação de politicas
6.1. Proxy
6.2. Firewall
6.3. Anti-Virus
7. Melhores práticas de posicionamento
7.1. TAP's
7.2. Port Mirroring
7.3. Inline
7.4. Bridge
8. Avançado sobre regras do snort
8.1. Criando uma sandbox e analisando um malware
8.2. PCRE
8.3. Byte_jump
8.4. Byte_test
8.5. Melhores práticas
8.6. Laboratórios
8.7. Configurando pre-processadores
8.8. Criando supression
8.9. Analise avançada de um incidente
8.10. Capacity Planning
8.10.1. Configurando e Analisando os resultados da analise de performance
8.10.2. Regras
8.10.3. Pre-Processadores
8.10.4. Pacotes