Администрирование DLP-систем
Цель: овладение слушателями навыками администрирования и использования современных DLP-систем в профессиональной деятельности в сфере информационной безопасности.
Формы проведения обучения: лекции, case-study, практические занятия, тестирование.
Категория слушателей: сотрудники служб информационной безопасности предприятий и организаций.
- День 1
- День 2
- День 3
- День 4
10:00 – 11:20Общая характеристика программного комплекса «Контур информационной безопасности СёрчИнформ» (далее - КИБ) (лекция)
Назначение, архитектура и состав КИБ. Схема движения информации в КИБ. Общая схема функционирования КИБ. Взаимосвязь основных компонентов КИБ.
11:20 – 11:30Перерыв
11:30 – 13:00Общая характеристика КИБ (лекция - продолжение, тестирование)
Характеристика компонент, входящих в состав КИБ. Компоненты, выполняющие перехват трафика. Компоненты, предназначенные для хранения и индексации данных. Компонента администрирования DataCenter. Аналитические компоненты. Тестирование по теме «Общая характеристика КИБ».
13:00 – 14:00Обед
14:00 – 15:20Способы организации перехвата трафика (лекция)
Подсистема сетевого перехвата: возможности платформы NetworkSniffer. Подсистема перехвата на конечных точках сети: возможности платформы EndpointSniffer. Преимущества и недостатки различных способов перехвата трафика. Организация комбинированного перехвата трафика. Интеграция со сторонними продуктами (почтовыми, прокси-серверами, другим программным обеспечением). Индексация рабочих станций (далее – ИРС): решаемые задачи и функциональные возможности.
15:20 – 15:30Перерыв
15:30 – 17:00Подготовка к установке КИБ (лекция)
Требования и рекомендации к серверному оборудованию и используемому программному обеспечению. Особенности заполнения анкеты СёрчИнформ. Этапы развертывания КИБ и их характеристика.
10:00 – 11:20Установка и настройка MS SQL Server для работы КИБ (практическое занятие)
11:20 – 11:30Перерыв
11:30 – 13:00Установка и первоначальная настройка КИБ (практическое занятие)
13:00 – 14:00Обед
14:00 – 15:20Настройка подсистемы сетевого перехвата и подсистемы перехвата на конечных точках сети КИБ (практическое занятие)
15:20 – 15:30Перерыв
15:30 – 17:00Настройка компоненты Datacenter. Проверка настроек и работоспособности КИБ после установки (практическое занятие)
10:00 – 11:20Дополнительная настройка компонент КИБ (практическое занятие)
«Тонкая» настройка агентов. Настройки SoftInform SearchServer. Настройки системы, выполняемые только посредством файлов конфигурации.
11:20 – 11:30Перерыв
11:30 – 13:00Дополнительная настройка компонент КИБ (практическое занятие)
Настройки внешних систем для работы КИБ. Настройка прокси-сервера.
13:00 – 14:00Обед
14:00 – 15:20Дополнительная настройка компонент КИБ (практическое занятие)
Настройка «зеркалирования». Настройка почтового сервера для использования в режиме интеграции.
15:20 – 15:30Перерыв
15:30 – 17:00Способы решения проблем, возникающих в процессе установки и эксплуатации КИБ (практическое занятие)
«Баг» или доработка? Какую информацию необходимо предоставить, чтобы сократить время решения проблемы? Где находятся «логи» и за что они отвечают? Выставление необходимого уровня логирования в компонентах КИБ. Алгоритм анализа нарушений функционирования КИБ.
10:00 – 11:20Инструменты аналитики в КИБ (лекция)
Поиск информации, содержащейся в перехваченных данных. Виды поиска. Комплексные запросы. Средства автоматизации. Мониторинг. Системы отчетности.
11:20 – 11:30Перерыв
11:30 – 13:00Поиск по перехваченным документам при помощи приложения SearchInform Client (практическое занятие)
Консоль SearchInform Client. Подключение к индексам сервера индексации. Настройка опций текстового поиска. Настройка просмотра перехваченных сообщений. Настройка ограничений результатов поиска. Настройка ограничений поиска по атрибутам сообщений. Использование модификаторов. Настройка псевдонимов идентификационных номеров (UIN) пользователей. Онлайн-активность пользователей. Карточки пользователей. Режимы LiveView и LiveSound.
13:00 – 14:00Обед
14:00 – 15:20Автоматический мониторинг информационных потоков при помощи приложения SearchInform AlertCenter (практическое занятие)
Функции и интерфейс серверного модуля AlertCenter. Функции и интерфейс клиентского модуля AlertCenter. Подключение индексов и баз данных. Регистрация пользователей. Настройки политик безопасности (настройка критериев поиска, индексов для анализа, расписания проверок, списка получателей уведомлений, списка исключений). Управление журналом инцидентов. Настройка политик карантина. Общие настройки AlertCenter.
15:20 – 15:30Перерыв
15:30 – 16:50Формирование отчетов об активности пользователей и инцидентах при помощи приложения SearchInform ReportCenter. Использование приложения SearchInform IncidentCenter для проведения служебных расследований (практическое занятие)
Серверная и клиентская части SearchInform ReportCenter. Основные элементы интерфейса консоли SearchInform ReportCenter. Настройка подключения к базе ReportCenter. Выбор пользователей. Генерация и отображение отчетов. Просмотр контекстно связанных отчетов. Перемещение по отчетам. Редактирование пользовательского шаблона. Анализ социальных отношений сотрудников и его отображение в виде графа. Просмотр перечня установленного на компьютерах программного обеспечения. История установки агентов. Количество сообщений по компьютерам. Функции консоли IncidentCenter. Операции с папками. Дела и их основные характеристики. Списки фигурантов. Ведение дел.
16:50 – 17:00Торжественное вручение сертификатов
DLP от А до Я
Продолжительность: 3 дня, 21 час
Форматы обучения: лекции, анализ ситуаций (case-study), практические занятия, тренинги, круглые столы
Чему научитесь:
- Рассчитывать возврат инвестиций в информационную безопасность.
- Оценивать и анализировать риски ИБ, а также управлять ими.
- Использовать DLP-системы для предотвращения инцидентов до их наступления.
- Собирать доказательную базу для правового преследования нарушителей политик безопасности.