Seminar / Training
Inhaltsverzeichnis
- Überblick
- Lernziele
- Zielgruppe
- Voraussetzungen
- Seminarinhalte
- Praxisübungen
Überblick
Dieses Training richtet sich auf fortgeschrittene Detektionsarbeit mit Snort 3. Behandelt werden Regeln, die nicht nur syntaktisch korrekt sind, sondern belastbar gegen Rauschen, überprüfbar im Test und vertretbar im Produktivbetrieb bleiben. Der Fokus liegt auf methodischem Detection Engineering entlang von Hypothese, Paketmerkmal, Regelentwurf, Test, Tuning und Betrieb.
Lernziele
- Detektionshypothesen in robuste Snort-Regeln überführen
- Flow-, Service-, Content- und Protokollbedingungen präzise kombinieren
- False Positives und False Negatives systematisch untersuchen
- Regeln anhand von Testverkehr, PCAPs und Alertdaten validieren
- Performance-Effekte anspruchsvoller Signaturen bewerten
Zielgruppe
Geeignet für Teams, die eigene Detektionslogik schreiben, fremde Regeln bewerten oder bestehende Policies an interne Netzwerke, Applikationen und Bedrohungsmodelle anpassen.
Voraussetzungen
Erwartet werden praktische Snort-Erfahrung, Verständnis von TCP/IP, HTTP, DNS und TLS-Metadaten sowie die Fähigkeit, Paketinhalte mit Analysewerkzeugen zu prüfen.
Seminarinhalte
Kapitel 1: Detection-Engineering-Prozess
- Von der Angriffshypothese zur überprüfbaren Netzwerkdetektion
- Datenquellen, Sensorgrenzen und Protokollkontext
- Qualitätskriterien für produktionsfähige Regeln
Kapitel 2: Fortgeschrittene Regelkonstruktion
- Mehrstufige Content-Prüfung, Offsets, Distanzen und Kontextbindung
- Flow- und Service-Bedingungen für zielgenaue Detektion
- Einsatz von PCRE nur bei nachvollziehbarem Nutzen und kontrollierbarer Last
Kapitel 3: Protokollinspektoren und Normalisierung
- Bedeutung von Inspektoren für HTTP, DNS, Datei- und Stream-Kontexte
- Erkennung auf normalisierten Feldern statt ungeprüfter Rohdaten
- Grenzen der Sichtbarkeit bei Verschlüsselung, Fragmentierung und Tunneling
Kapitel 4: Tuning, Test und Betrieb
- Testmethodik mit PCAPs, Replay und Negativbeispielen
- Schwellwerte, Suppression, Regelstatus und Änderungsverfolgung
- Messung von Alertqualität, Wartbarkeit und Performance
Praxisübungen
- Entwicklung mehrerer Regeln aus Beispielindikatoren und Protokollspuren
- Reduktion bewusst erzeugter False Positives durch Kontextverfeinerung
- Review einer Regelstrecke nach Wartbarkeit, Nachweisbarkeit und Last
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleitung / Trainingsleitung / Ansprechpartner
-
Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -
Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 4 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 2.396 zzgl. MwSt. Inhaus: CHF 6.800 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Detection Engineers, erfahrene SOC-Analysten, Threat-Hunting-Teams, Security Engineers und technische Blue-Team-Rollen |
| Vorausetzungen: | |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
