Das Seminar standardisiert die Betriebsführung einer open-appsec-Umgebung. Ereignisprotokolle, Log Trigger, lokale und zentrale Ziele, CEF, Syslog, Containerausgabe, Kubernetes-Dienste und Prometheus werden in ein konsistentes Monitoringmodell überführt. Darauf aufbauend entstehen Diagnoseabläufe für fehlende Traffic-Erkennung, Policy-Fehler, unerwartete Blockierungen, Größenlimits, Latenz und Agentenregistrierung.
Inhaltsverzeichnis
- Seminarprofil
- Lernziele
- Zielgruppe
- Voraussetzungen
- Seminarinhalte
- Praktische Übungen
- Methodik und Unterlagen
Seminarprofil
Ein WAF-Betrieb ist nur belastbar, wenn Schutzwirkung und Störungen gleichermaßen sichtbar sind. Das Seminar verbindet Security Events, Systemzustand, Proxy- oder Gateway-Logs und Plattformmetriken. Ziel ist ein reproduzierbares Runbook statt improvisierter Einzelanalyse.
Lernziele
- Logumfang und Zielsysteme passend zu Betrieb und Datenschutz wählen.
- Security Events nach Aktion, Konfidenz, Asset, Quelle und Schutzmerkmal auswerten.
- Prometheus-Metriken und technische Alarmregeln in ein Betriebsmodell einordnen.
- Agent-, Attachment-, Policy- und Routingfehler schichtweise isolieren.
- unerwartete Blockierungen und große Requests sicher untersuchen.
- Upgrade- und Ausfallereignisse mit klaren Prüfpunkten behandeln.
- Runbooks, Eskalationsdaten und Nachweise standardisieren.
Zielgruppe
Geeignet für Betrieb, System- und Kubernetes-Administration, SOC, SIEM-Engineering, DevOps, DevSecOps, Netzwerk- und Security-Administration sowie Second- und Third-Level-Support.
Voraussetzungen
Erforderlich sind Grundkenntnisse zu open-appsec, Linux- oder Containerlogs, HTTP-Statuscodes und JSON. Für Kubernetes-Szenarien werden kubectl-Grundkenntnisse vorausgesetzt.
Seminarinhalte
1. Beobachtungsmodell und Verantwortlichkeiten
Überwacht werden Datenpfad, Agent, Policy-Load, Lernzustand, Schutzaktionen, Fehler und Ressourcen. Für jede Signalquelle werden Owner, Aufbewahrung, Alarmgrenze und Eskalationsweg festgelegt.
- kritische Komponenten und Abhängigkeiten inventarisieren.
- Security-, Plattform- und Anwendungsereignisse trennen.
- Mindestfelder und zulässige Detailtiefe bestimmen.
- Alarmklassen und Reaktionszeiten definieren.
- Nachweis für Regelbetrieb und Schutzwirkung festlegen.
2. Log Trigger und Ereignisdetails
Log Trigger steuern Erkennungs-, Präventions- und Access-Control-Ereignisse sowie optionale Request-Details. URL-Query, Header und Request-Body erhöhen den Analysewert, können aber sensible Daten enthalten. Deshalb wird der Detailumfang nach Zweck und Datenklasse begrenzt.
3. Logziele und SIEM-Anbindung
Behandelt werden Agent-Log, Standardausgabe, Cloudziel, Syslog, CEF und Kubernetes-Service. Für jedes Ziel werden Transport, Format, Pufferung, Ausfallverhalten und Dubletten betrachtet.
- Zielformat und Pflichtfelder festlegen.
- Transportweg und Netzfreigaben prüfen.
- Testereignis erzeugen und Ende-zu-Ende nachweisen.
- Zeitstempel, Zeitzone und Asset-Zuordnung kontrollieren.
- Verlust, Verzögerung und Wiederanlauf simulieren.
- Parser und Alarmregel mit bekannten Ereignissen verifizieren.
4. Metriken und Prometheus
Metriken ergänzen Security Logs um Zustand und Trend. Agentverfügbarkeit, Verarbeitungsstatus, Fehler, Latenz und Ressourcen werden in Dashboards und Alarmregeln überführt. Grenzwerte werden aus Baseline und Fehlerbudget abgeleitet.
5. Systematische Fehlersuche
Die Diagnose folgt einer festen Reihenfolge, damit Proxy-, Attachment-, Agent-, Policy- und Backendfehler nicht vermischt werden.
- Symptom, Zeitpunkt, betroffenen Host und Pfad exakt erfassen.
- Clientantwort und Proxy- beziehungsweise Gateway-Log vergleichen.
- prüfen, ob das Attachment die Transaktion erkennt.
- Agentzustand, Registrierung und Policy-Load kontrollieren.
- Regeltreffer, Enforcement-Modus und Exception prüfen.
- Backend und Antwortpfad verifizieren.
- Korrektur mit Positiv- und Negativtest absichern.
6. Typische Störungsklassen
Behandelt werden fehlende HTTP-Transaktionen, falsche Host-/Port-Zuordnung, Policy-Load-Fehler, Managementverbindung, unerwartete 413-Antworten, Timeout und Latenz, Container- oder Pod-Neustarts, gesperrte Konfigurationsobjekte und fehlerhafte Upgradezustände.
7. Upgrade- und Notfallbetrieb
Vor und nach Aktualisierungen werden Agentstatus, Datenpfad, Policy-Load, Lernpersistenz, Events und Metriken geprüft. Verhalten bei Agentenausfall, Kommunikationsverlust oder fehlerhafter Policy wird vorab festgelegt und regelmäßig getestet.
Praktische Übungen
- Log Trigger mit angemessener Detailtiefe entwerfen.
- Security Events an lokales Ziel und SIEM-kompatibles Format übertragen.
- Eventfelder filtern und einen Alarmfall nachvollziehen.
- Metrikbaseline und zwei technische Alarmregeln definieren.
- vorgegebenen Fehler bei Traffic-Erkennung schichtweise lokalisieren.
- unerwartete Blockierung und Größenlimitproblem analysieren.
- Upgrade-Abnahme und Rollbackentscheidung anhand eines Runbooks durchführen.
Methodik und Unterlagen
Verwendet werden vorbereitete Log- und Fehlerszenarien, Diagnoseaufträge und ein standardisiertes Incident-Arbeitsblatt. Die Unterlagen enthalten Feldübersicht, SIEM-Prüfliste, Alarmdesign, Schichtendiagnose und Upgrade-Abnahme.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -
Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.198 zzgl. MwSt. Inhaus: CHF 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Betrieb, System- und Kubernetes-Administration, SOC, SIEM-Engineering, DevOps, Netzwerk- und Security-Administration |
| Voraussetzungen: | open-appsec-Grundkenntnisse, Linux- oder Containerlogs, HTTP-Statuscodes und JSON; kubectl für Kubernetes-Szenarien |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
