Das Seminar konzentriert sich auf die fachlich anspruchsvollste Betriebsphase: aus einer technisch installierten open-appsec-Instanz entsteht eine belastbare Schutzkonfiguration. Assets, Host- und Pfadregeln, Quellidentitäten, Lernfortschritt, Konfidenz, Tuning-Vorschläge, Ausnahmen und Custom Responses werden kontrolliert vom Detect/Learn- in den Prevent/Learn-Betrieb überführt.
Inhaltsverzeichnis
- Seminarprofil
- Lernziele
- Zielgruppe
- Voraussetzungen
- Seminarinhalte
- Praktische Übungen
- Methodik und Unterlagen
Seminarprofil
Gute WAF-Policies entstehen nicht durch sofortiges Blockieren. Erforderlich sind eine präzise Asset-Abgrenzung, repräsentativer Verkehr, verständliche Ereignisse und ein dokumentiertes Freigabeverfahren. Das Seminar verbindet Security-Analyse mit operativer Änderungskontrolle und gilt für zentrale wie lokale deklarative Verwaltung.
Lernziele
- Assets und Regeln nach Host, Port und Pfad überschneidungsfrei modellieren.
- Lernfortschritt und Konfidenz fachlich bewerten.
- Quellidentität und vertrauenswürdige Quellen korrekt konfigurieren.
- Tuning-Vorschläge prüfen und nachvollziehbar entscheiden.
- Ausnahmen eng, testbar und zeitlich kontrolliert gestalten.
- Custom Responses, Größenlimits und Verhalten bei Fehlern abstimmen.
- gestufte Umschaltung in den Präventionsbetrieb durchführen.
Zielgruppe
Geeignet für Security-Administration, WAF- und SOC-Verantwortliche, Plattform- und DevSecOps-Teams, Anwendungsverantwortliche sowie technische Change- und Betriebsverantwortliche.
Voraussetzungen
Erforderlich sind open-appsec-Grundkenntnisse, Verständnis von HTTP-Requests, Hosts, Pfaden, Headern und Statuscodes. Für deklarative Übungen sind YAML-Kenntnisse hilfreich.
Seminarinhalte
1. Asset- und Regelmodell
Jede geschützte Webanwendung oder API erhält eine eindeutige Regel. Die Zuordnung wird anhand von Protokoll, Hostname, Port und Pfad geprüft. Default-Regeln werden nur als Sicherheitsnetz eingesetzt; anwendungsspezifische Regeln erhalten eigene Lern- und Betriebszustände.
- exponierte Endpunkte inventarisieren.
- Überschneidungen und längste Pfadtreffer analysieren.
- Default-Verhalten und spezifische Regeln trennen.
- Practice, Log Trigger, Exception und Custom Response zuordnen.
- Testmatrix für positive und negative Treffer erstellen.
2. Detect/Learn und Prevent/Learn
Der Lernbetrieb erzeugt eine Baseline und protokolliert verdächtige Requests, ohne vorschnell zu blockieren. Der Wechsel in den Präventionsbetrieb erfolgt anhand definierter Kriterien und kann je Asset oder Pfad gestuft werden.
- repräsentativen Zeitraum und erwartete Verkehrsmuster festlegen.
- Lernfortschritt und Ereignisqualität regelmäßig prüfen.
- Fehlklassifikationen nach Ursache gruppieren.
- kritische Pfade zuerst in einer kontrollierten Teststufe absichern.
- Prevent/Learn mit geeignetem Konfidenzniveau aktivieren.
- Nachkontrolle und Rückfallkriterium dokumentieren.
3. Quellidentität und vertrauenswürdige Quellen
Source IP, X-Forwarded-For, Header, Cookie oder JWT-Schlüssel können Benutzer beziehungsweise technische Quellen unterscheiden. Die Auswahl muss zur Proxy-Kette und zum Authentifizierungsmodell passen. Falsch konfigurierte Quellidentität verfälscht Lernen und Rate Limiting.
4. Tuning und supervised learning
Tuning-Vorschläge werden nicht ungeprüft übernommen. Bewertet werden Request-Kontext, Anwendungspfad, Häufigkeit, Quelle, geschäftliche Funktion und mögliche Umgehungswirkung. Jede Entscheidung erhält Begründung und Nachprüfung.
- Vorschlag und betroffene Request-Merkmale lesen.
- Anwendungsowner oder API-Verantwortung einbeziehen.
- legitimes Verhalten mit Testfall reproduzieren.
- Vorschlag annehmen, ablehnen oder durch engere Policy ersetzen.
- Auswirkung nach erneutem Verkehr kontrollieren.
5. Ausnahmen und benutzerdefinierte Regeln
Exceptions können Prüfung überspringen, akzeptieren, verwerfen oder nur die Protokollierung unterdrücken. Bedingungen werden auf Quelle, Land, Host, URL, Parameter oder Schutzmerkmal begrenzt. Breite Ausnahmen ohne Ablaufdatum gelten als Fehlkonfiguration.
- Fehlklassifikation technisch reproduzieren.
- kleinstmögliche Bedingung bestimmen.
- gewünschte Aktion und Protokollierung festlegen.
- Positiv-, Negativ- und Umgehungstest ausführen.
- Owner, Begründung und Überprüfungstermin dokumentieren.
6. Antworten, Größenlimits und Fehlerverhalten
Blockseiten, reine Statuscodes oder Weiterleitungen werden nach Anwendungstyp ausgewählt. URL-, Body- und Objektgrenzen müssen mit Proxy und Backend abgestimmt sein. Das Verhalten bei nicht verfügbarem Agenten wird aus Verfügbarkeits- und Sicherheitsanforderungen abgeleitet.
7. Policy-Lebenszyklus
Policies werden wie produktiver Code behandelt: versionieren, prüfen, freigeben, gestuft anwenden, überwachen und zurückrollen. Für zentrale Verwaltung wird das Enforce-Verfahren in denselben Change-Prozess eingebettet.
Praktische Übungen
- mehrere Hosts und Pfade in ein eindeutiges Regelmodell überführen.
- Quellidentität für eine Proxy-Kette konfigurieren und prüfen.
- Lernereignisse nach Anwendung, Quelle, Aktion und Konfidenz analysieren.
- Tuning-Vorschlag anhand eines reproduzierbaren Geschäftsfalls bewerten.
- eng begrenzte Exception mit Gegenprobe erstellen.
- Custom Response und Größenlimit testen.
- einen Pfad gestuft in Prevent/Learn überführen und Rückfallkriterien anwenden.
Methodik und Unterlagen
Die Übungen basieren auf realistischen Request-Sätzen mit legitimen Sonderfällen und Angriffsmustern. Die Unterlagen enthalten Policy-Review-Schema, Exception-Register, Freigabekriterien und Prüflisten für die Umschaltung in den Präventionsbetrieb.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -
Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.198 zzgl. MwSt. Inhaus: CHF 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Security-Administration, WAF- und SOC-Verantwortliche, Plattform- und DevSecOps-Teams, Anwendungsverantwortliche |
| Voraussetzungen: | open-appsec-Grundkenntnisse, HTTP-Requests, Hosts, Pfade, Header und Statuscodes; YAML hilfreich |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
