Snort Rule Writing

Überblick: Diese Schulung versetzt für Snort  Anwender in die Lage selbst Snort Regeln zu entwickeln und einzusetzen. Die Schulung konzentriert sich auf die Snort Regelsprache und betrachtet die allgemeine Syntax, Best Practices und die Optimieurng der Regel. Die Teilnehmer werden in Fallstudien Netzwerkverkehr analysieren und selbst Regeln für die Erkennung der Angriffe entwickeln. Hierbei können die Teilnehmer testen, ob sie ihre eigenen Systeme gegen Angriffe wirksam mit ihren Regeln  schützen können.



Voraussetzungen: Die Teilnehmer sollten Erfahrung in dem Betrieb eines Snort-Sensors besitzen. Idealerwiese haben sie den Kurs "Intrusion Detection mit Snort" besucht.

Inhalt:
* Regel Syntax und einfachee Sprachelemente
* Optimierung des Regelwerks
* PCRE in Snort Regeln
* Byte_Jump, Byte_Test und Byte_Extract
* Zustandsspeicherung mit Flowbits
* IPS Regeln
* Messung und Optimierung des Regel-Overheads
* Best Practices

Dauer: 3 Tage

Ort: OpenSource Training Ralf Spenneberg - Am Bahnhof 3-5 - 48565 Steinfurt

Preis (Netto): auf Anfrage

Termine: auf Anfrage

 

Das sagen unsere Kunden ...

- Fachliche Kompetenz überragend - Präsentationsteil sicher und locker - freundliches Auftreten - motiviert zur Mitarbeit.
SNORT IDS/IPS Technology
Mitarbeiter - T-Systems

Lehrreicher, interessanter & kurzweiliger Kurs! Vielen Dank!
Sourcefire 3d System
Mitarbeiter - Swiss Army

Besonders gut: Das "Ausschweifen" eines Themas als Vorbereitung auf das "kommende" Thema. Dadurch konnte das Verständnis zum Thema besonders gut vermittelt werden.
SNORT IDS/IPS Technology
Mitarbeiter - T-Systems

Endlein ein Lehrgang, der interessant und lehrreich war!
SNORT IDS/IPS Technology
Mitarbeiter - T-Systems

Sehr angenehme Umgebung, sehr kompetenter Trainer (Ralf Spenneberg).
SNORT IDS/IPS Technology
Mitarbeiter - Ineos Köln GmbH

Tolle Schulung/Workshop. Sehr gute Erklärungen. Vieles gut nachstellbar bzw. auf eigenen Maschinen nachvollzogen.
SNORT IDS/IPS Technology
Mitarbeiter - BTC IT Services GmbH

Snort und DAQ auf RHEL/CentOS 5 erzeugen Fehler mit AF_PACKET

Die aktuelle Snort Version 2.9.0 bring mit DAQ eine neue Data Aquisition Library mit.  Diese kann neben der klassischen libpcap-Bibliothek auch über AF_PACKET die Pakete des Kernels entgegennehmen. Hier nutzt sie sogar einen Ringpuffer. Dieser konnte früher bei der libpcap nur mit der besonderen mmap-libpcap Version von Phil Wood genutzt werden. Während diese Funktionalität in […]

Snort 2.9.0

Snort 2.9.0 ist schließlich freigegeben worden. Im Gegensatz zu meinen Erwartungen bei der neuen Versionsnummer sind die tatsächlichen Neuerungen bescheiden. Neben einigen Änderungen in einigen Befehlen und Präprozessoren sind es vor allem zwei Funktionen, die interessant sind: 1. Neue Response API Snort konnte immer schon aktiv auf Angriffe reagieren. Dies war auch bei dem Betrieb […]

Sourcefire Event: Vorträge Online

Auf Einladung der Firma Sourcefire durfte ich bei einer Kundenveranstaltung in der BMW-Welt in München drei Vorträge halten. Die Folien dieser Veranstaltung habe ich nun online verfügbar gemacht. Sie finden Sie hier: Snort Grundlagen Snort Guru