McAfee Application Control und Change Control - Administration - Schulung (4 Tage)

Kurzbeschreibung

In diesem praktisch ausgerichteten Seminar lernen Sie die Sicherheitssoftware McAfee Application Control und McAfee Change Control (ehemals Solidcore) sowie die Installation der Software McAfee ePolicy Orchestrator (McAfee ePO) kennen. Am Seminarende haben Sie Kenntnisse und Fertigkeiten zur Bereitstellung und Administration von McAfee Application Control und McAfee Change Control auf Remote-Clients und zur Installation und Konfiguration des Solidcore-Servers kennen gelernt. Weiterhin wurden Sie mit der Konfiguration und Richtlinienverwaltung mit Application Control, der Konfiguration von Change Control und der Verwendung von McAfee Risk Advisor zur Risikoverwaltung vertraut gemacht.

Voraussetzungen

• Fundierte Kenntnisse der Verwaltung unter Microsoft Windows und von Systemadministrationskonzepten
• Grundlegendes Verständnis von Computersicherheitskonzepten
• Administrationskenntnisse der Remote-Clients von einem zentralen Standort aus

Seminarinhalt

Einführung in McAfee Application Control/Change Control (MACCC)
• Was ist MACCC?
• Unterstützte Betriebssysteme
• Solidcore-Architektur
• Vielschichtige Sicherheitslösung
• Whitelisting
• Das Vertrauensmodell
• Bild-Abweichung
• Alleinstellungsmerkmale
• Sichtbarkeit und Erzwingung für End-to-end Compliance
• File Integrity Monitoring (FIM)
• Änderung der Prävention
• Installation von Workflow
• Navigation auf Solidcore-Komponenten
• Solidcore-Konfiguration
• Updater oder Publisher
• Solidcore-Konfiguration
• Installateure
• Solidcore-Richtlinien
• Windows-Pfad-Definitionen
• Solidcore Server-Tasks
• Solidcore: Reinigungs-Task
• Migrations-Server-Task
• Berechnung vorherrschender Beobachtungen (veraltet)
• Inhaltsänderungsnachverfolgungs-Berichterstellung
• Solidcore: Starten der Bild-Abweichung
• Bild Abweichung (Application Control)
• Angabe eines idealen Modellbilds
• Solidcore: Scannen von Software-Repositories

Planung einer McAfee ® ePolicy Orchestrator ™-Bereitstellung
• Plattform-Anforderungen
• ePO Server Hardwareanforderungen
• ePO Server-Betriebssysteme
• ePO Server erforderliche Software
• Unterstützte Webbrowser
• Unterstützte SQL Server-Versionen
• Standard-Kommunikations-Ports
• Standard-Ports
• Bestimmung der Ports im Einsatz
• Virtuelle Infrastruktur-Anforderungen
• Bereitstellungsrichtlinien
• Bereitstellungsszenario: Grundplan
• Lösung A: Ein ePO-Server
• Lösung B: Zwei ePO Server
• Lösung C: ePO-Server mit Agent-Handler
• Bereitstellungsszenario: Konfiguration der Festplatte
• Lösung: weniger als 5.000 Knoten
• Lösung: 5.000 bis 25.000 Knoten
• Bereitstellungsszenario: Konfiguration der Festplatte
• Lösung: 25.000 bis 75.000 Knoten
• Lösung: mehr als 75.000 Knoten
• Datenbankgröße
• Wie Produkte und Events Berechnungen beeinflussen
• Beispiel: Berechnung der Durchschnittswerte
• Berechnung der Umgebung
• Verwaltung von Skalierbarkeit
• Umgebungs-Faktoren

Verbundene Sicherheit und McAfee ®ePolicy Orchestrator ™ - Übersicht
• Sicherheits-Entwicklung
• Sicherheit - verbunden
• Breite und Tiefe für Sicherheit
• ePO Lösung - Überblick
• Neu für diese Version
• Grundlegende Lösungskomponenten
• Funktionsweise von ePO
• Grundfunktionen
• Integration mit Produkten von Drittanbietern
• ePO Webinterface
• Menü-Seite
• Anpassung der Benutzeroberfläche
• Architektur und Kommunikation
• Funktionale Prozesslogik
• Datenspeicherung

McAfee ® Agent
• McAfee Agent - Übersicht
• Neu für diese Version
• Agent-Komponenten
• Schlüssel für Agent-Server-sichere Kommunikation
• Kommunikation nach Agent-Installation
• Typische Agent-zu-Server-Kommunikation
• McAfee Agent-zu-Produkt-Kommunikation
• Erzwingen der Agent-Aktivität vom Server
• Weckrufe und Wake-Up-Tasks
• Konfiguration der Agent-Aktivierung
• Suchen von Agent-Knoten mithilfe von DNS
• Verwendung des System Tray-Icon
• Erzwingen der McAfee Agent-Aktivität vom Client
• Anzeige des McAfee Agent-Logs
• ePO 4.x/McAfee Agent 4.x Funktionsabhängigkeiten
• Agent-Dateien und Verzeichnisse
• Sitelist.xml
• McAfee Agent-Log-Dateien
• Verwendung von Log-Dateien
• Installationsordner

Application Control/Change Control Erweiterung - Installation
• Erweiterungen in ePO
• Erweiterungen-Menü
• Integration von AC/CC-Erweiterung
• Installationsanforderungen
• Systemanforderungen
• ePO Datenbankgröße
• Installation der Erweiterung
• Solidcore Lizenzierung
• Was ist Solidcore?
• Installation des Workflow-Review
• Installation von Lizenzen
• Solidcore-Datenbank-Tabellen

Der Solidcore Client
• Solidcore Architektur
• Die Agent-Plug-in und wie es funktioniert
• Arten von Plattformenschutz
• Unterstützte Systeme
• Check-in Agent-Plug-in-Paket in ePO
• Bereitstellung des Solidcore-Agent-Plug-in
• Überprüfung der Installation vom Endpunkt
• Solidcore-Client-Tasks
• Aktivierung der Solidcore-Agent-Tasks
• Deaktivierung der Solidcore-Agent-Tasks
• Erstellung der Scan-Whitelist
• Pull Inventory
• Beginn des Update-Modus
• Ende des Update-Modus
• Veränderung des lokalen CLI-Zugriffs
• Sammeln der debug-info
• Starten der Befehle
• Diagnose der Programme
• Features für den Client
• Client-Benachrichtigungen und Events
• Client-Events und Zulassungen
• Anpassung der Client-Benachrichtigungen

Application Control Initial-Konfiguration
• Was sind Beobachtungen?
• Beobachtung des Modus
• Verwaltung von Anforderungen
• Überprüfung der Zugriffe
• Prozessanforderungen
• Ermöglichen der Prüfsumme auf allen Endgeräten
• Ermöglichen der Herausgeber auf allen Endgeräten
• Bannen der Prüfsumme auf allen Endgeräten
• Definition benutzerdefinierter Regeln für bestimmte Endgeräte
• Ermöglichen des Einfügens bestimmter Endgeräte zur Whitelist
• Definieren der Regeln zum Umgehen aller Endgeräte
• Löschung von Anforderungen
• Überprüfung erstellter Regeln
• Throttle Beobachtungen
• Definieren des Schwellenwerts
• Überprüfen der Filter-Regeln
• Verwaltung kumulierter Zugriffe
• Verlassen des Beobachtungmodus
• Inventory-Einführung
• Abruf Inventory
• GTI Integration
• Vertrauensebene und Score
• Cloud Trust Score
• Inventarisierung ohne Zugriff auf GTI
• Einholen von McAfee GTI Bewertungen für isolierte Netzwerke
• Exportieren SHA1s für alle Binärdateien
• Starten des Offline GTI Tools
• Einholen der Inventarisierung- Fehlerhafte Datei gefundenes Event
• Verwaltung der Inventarisierung
• Verwaltung der Binärdateien
• Application Control Policy
• Verwalten von Regelgruppen
• Erstellen einer Application Controll-Regelgruppe
• Registerkarte "Updater"
• Vertrauenswürdige Benutzer
• Ausnahmen
• Verwenden eine Regelgruppe zur Blockierung einer Anwendung

Application Control-Funktion - Administration
• Was ist ein Update-Modus?
• Aktualisierung eines verdichteten Systems
• Auto-Updater
• Autorisierte Updater
• Bestimmung der Updater
• Verständnis des Publishers
• Verständnis der Installateure
• Scannen einer Software-Repository
• Revisit - Solidcore-Berechtigungssätze
• Neustart einer kostenlosen Aktivierung
• Verbesserung des Inventory Management
• Inventarisierungs-Management - Pull-Inventory
• Inventarisierungs-Management- Anwendung
• Inventarisierung der Systeme
• Inventarisierung des Application Drill-down
• Inventarisiserung des binären Drill-down
• Suchfilter
• Änderung des Enterprise-Vertrauenslevels

Events und Warnungen
• Verständnis von Events
• Wie entsteht ein Event?
• Wann Events zurück gesendet werden
• Anzeigen von Events
• Erweiterter Filter
• Auswählen von Spalten zur Anzeige
• Anzeige der Details eines Events
• Solidcore-Events
• Beispiel für Solidcore-Events
• Application Control-Events
• Planung automatischer Antworten
• Drosselung, Aggregation, und Gruppierung
• Warnungen
• Verständnis der Warnungen
• Szenarien
• Konfiguration einer Solidcore-Warnung
• Anzeigen einer Warnung
• Unterstützung von SNMP-Meldungen
• Anpassung von Endbenutzer-Benachrichtigungen
• Verbesserung des Syslog

Change Control-Initial-Konfiguration
• Application Control & Change Control
• Change Control & Integrity Monitoring
• Szenario
• Datei Integrity Monitoring
• Workflow
• Deaktivierung von Solidcore
• Aktivierung von Solidcore für das Endgerät
• Überprüfung der Client Task Erledigung
• Integritäts-Monitoring-Richtlinien
• Verwendung des Integrität Monitor
• Erstellen einer Integrity Monitor-Richtlinie
• Integritäts-Monitoring-Richtlinien
• Prüfung des Monitorings
• Verringerung von "Lärm"
• Beispiel für die Verringerung der "Lärm"

Verwendung des Richtlinienkatalogs und Verwalten von Richtlinien
• Change Control-Strategien
• Rolle der Richtlinie
• Variablen für den Einsatz in Richtlinien
• Beispiel von Variablen in einer Regelgruppe
• Szenario
• Schreibschutz einer Datei, das ein vertrauenswürdiges Programm verändern kann
• Schreibschutz eines Registrierungsschlüssels, das ein Programm verändern kann
• Schreibschutz einer Datei, das ein vertrauenswürdiger Benutzer verändern kann
• Überprüfung, dass nur vertrauenswürdige Benutzer verändern können
• Leseschutz muss aktiviert sein
• Leseschutz einer Datei, auf das ein vertrauenswürdiges Programm zugreifen kann
• Notfalländerungen
• Inhalts-Änderungsnachverfolgung
• Ein Klick Ausschluss (erweiterte Ausschluss-Filterung)
• Ein Klick-Ausschluss-Konfiguration
• Troubleshooting

Dashboards und Reporting
• Das Dashboard
• ePO Dashboards
• Abfragen als Dashboard-Überwachungen
• Dashboard-Zugriff
• Dashboard-Konfiguration
• Solidcore Dashboards
• Application Control-Auswertung
• Change Control Auswertung
• Integrität Monitor Dashboard
• Inventory Dashboard
• Solidcore Abfragen
• Reporting > Solidcore
• Application Control > Inventory
• Application Controll > Bild-Abweichung
• Automatisierung > Solidcore Client-Task-Log
• Szenario
• Erstellung eines benutzerdefinierten Dashboards
• Veröffentlichung des Dashboards
• Einstellung des Standard-Dashboards

Troubleshooting
• Solidcore Architektur und Komponenten
• Solidcore 6.1.3 Architektur
• Troubleshooting -Referenzen
• Ort der Solidcore Dateien auf dem Endgerät
• ePolicy Orchestrator Application Server-Sercice-Logs
• Solidcore-Registry-Schlüssel für den Endpunkt
• Solidcore Services
• Troubleshooting - Best Practice
• Best Practices für Eskalation
• Troubleshooting GTI Cloud-Probleme - Best Practice
• Top-Themen - Task-Probleme
• Top-Themen - Verweigerte Ausführungsprobleme
• Top-Themen - Verweigerte Ausführung einer Netzwerkfreigabe
• Top-Themen-Netzwerkfreigabe
• Top-Themen - KB
• Nützliche Tools
• Solidcore-Eventlogs
• Solidcore Benutzerbenachrichtigungen
• Solidcore-Troubleshooting-Tools
• Eskalations-Tools
• Solidcore-Datenbank-Tabellen
• Minimale Eskalation Requirements (MER)
• Starten des MER-Tools auf Client
• Dump-Tools

Fallstudien
• Ein Fall aus der Geschichte
• Gefährliche, bekannte Schwachstellen im Client
• Browser-basierte Exploits
• Die Abhilfe
• Application Whitelisting
• Erhöhung der Compliance-Anforderungen
• Abhilfe
• Datei-Überwachung
• Beenden der Task

CLI Administration
• Solidcore CLI
• Ort der Solidcore Dateien auf dem Endgerät
• Anzeigen des CLI-Zugriffs
• Aktivierung der CLI
• Entsperren des lokalen CLI
• Sicherung der CLI
• Verwendung der CLI
• SADMIN Befehle
• Verdichten von der CLI
• Entdichten
• Was ist der Solidcore Status?
• Beginn des Updatestatus
• Beenden des Update-Status
• Aktivieren und Deaktivieren von Solidifier
• SADMIN Befehle
• Erweiterte SADMIN Kommandos
• Solidcore-Befehle
• Neue CLI-Befehle
• Application Control-Regeln & hilfreiche Befehle
• Schreib-/Lese geschützte Dateien
• Change-Control-Befehle - Schreibschutz
• Wie man einen Schutz einer Datei schreibt
• Änderung von lese-/schreibgeschützten Dateien
• Change Control Features - Schreibschutz
• Application Control
• Autorisierung der Befehls-Argumente
• Entdeckung und Hinzufügung von Updater
• SADMIN Diag Notations
• Entdeckung und Hinzufügung von Updater
• Attribute
• Verwendung von Attributen zur Dateikontroll-Ausführung
• Anzeigen von Solidcore Events
• Event Sinks
• Protokollierung von Events
• Eventnamen und Protokolleinträge
• Produkt-Tools

Best Practices
• Überprüfung der Initial Setup Tasks
• System-Tree-Infrastruktur
• Kommunikation zwischen ePO und Agent
• Aktivierungsoptionen: Nur Application Control
• Inventory Collection Scan
• Schutzstatus-Auswahl
• Schutzstatus-Leistung
• Prüfung der Schutzmechanismen
• Richtlinien und Regelgruppen
• Policy-Tuning
• Bypass-Regeln und Ausschlüsse
• Bestandsaufnahme und Whitelist
• Updaters
• Application Control Memory Protection
• Wartung
• Grundlagen zur Fehlerbehebung und häufig gestellte Fragen
• Lösen von Speicher-Diskrepanzen
• Nützliche Informationen

Zielgruppen

• Netzwerk-Administratoren
• System-Administratoren
• IT-Sicherheitsbeauftragte

Preise und Termine

Verwandte Schulungen

McAfee VirusScan Enterprise (VSE) und ePolicy Orchestrator (ePO) Administration - SchulungMcAfee Email Gateway - Administration - Schulung

Seminarsprache

die Seminarsprache ist deutsch, sofern keine andere Angabe. Englisch ist in aller Regel machbar, andere Seminarsprachen sind möglich, fragen Sie bitte an.