Informationen zur Technologie

McAfee MVISION Endpoint Detection and Respone (EDR) dient dem Erkennen, Untersuchen und der Abwehr von Endgerätebedrohungen. Es ermöglicht eine kontinuierliche Datenerfassung und erweiterte Analysen zur Ermittlung von verdächtigem Verhalten in einem Netzwerk mithilfe von Alert-Ranking und Datenvisualisierung.


McAfee MVISION Endpoint Detection and Response (EDR) - Administration - Schulung (2 Tage)

McAfee MVISION Endpoint Detection and Response Administration

Kurzbeschreibung

In diesem zweitägigen McAfee-Kurs werden Analysten des Security Operations Center (SOC) auf die Funktionen von McAfee MVISION EDR vorbereitet und lernen diese zu verstehen, zu kommunizieren und zu nutzen. Anhand praktischer Übungen werden Kenntnisse und Fertigkeiten vermittelt, wie sie hochentwickelte Gerätebedrohungen erkennen, vollständig untersuchen und schnell darauf reagieren können. Am Anfang werden sie mit der Architektur, den Komponenten, der Einrichtung und dem Einsatz von EDR vertraut gemacht. Weitere Themen umfassen u.a. das Monitoring, die Alarmierung, die Suchmöglichkeiten, die Performance-Metriken, das Threat Hunting und das Troubleshooting.


Voraussetzungen

• Empfohlen sind Kenntnisse von Netzwerk- und Systemadministrationskonzepten
• Kenntnisse der Computersicherheits- und Netzwerksicherheitskonzepte und Praktiken
• Kenntnisse der Malware-Analyse und der Forensik-Taktiken und Techniken


    Seminarinhalt

    Die Bedeutung und Funktionsweise von Endpoint Detection and Response (EDR)
    • Die Rolle von MVISION EDR im McAfee Portfolio
    • Die Komponenten von MVISION EDR
    • Unterschiede der Unterstützung von MVISION EDR für die SOC Mission
    • Die MVISION EDR Fähigkeiten
    • Die MITRE ATT&CK Matrix

    Architektur
    • Die Produkt-/Lösungsarchitektur
    • Unterschiede der Bereitstellungsoptionen
    • Die gemeinsamen Protokoll- und Produktdateien
    • Die Produkt / Lösungs-Kommunikationspfade und Ports

    Einrichtung und Bereitstellung
    • Die unterstützte Plattform, Umgebung oder Betriebssysteme
    • Die ersten Schritte zum Hinzufügen von MVISION EDR zu einer Umgebung
    • Installation von MVISION EDR auf einer lokalen (On-Premises) oder MVISION ePO Bereitstellung
    • Eintragung der erforderlichen Produkterweiterungen
    • Bereitstellung des MVISION EDR Clients auf die Endpunkte

    Monitoring
    • Anzeige von Bedrohungsereignissen im Monitoring Dashboard
    • Der MVISION EDR Threat Detection-Ansatz
    • Ergreifung von Maßnahmen über das Monitoring Dashboard

    Alarmierung
    • Nutzung des Alarmierungs-Dashboards zur Anzeige von Rohdaten der verwalteten Geräte.
    • Anzeige der Übereinstimmung von Alarmereignissen mit den von MITRE beobachteten Taktiken und Techniken

    Historische Suche
    • Verwendung der historischen Daten zur Analyse einer im System aufgetretenen Bedrohung und ihre Auslösung
    • Die Untersuchungsmöglichkeiten der historischen Suche

    Echtzeit-Suche
    • Abruf von Informationen über aktuell laufende Prozesse auf verwalteten Endpunkten mithilfe von Echtzeit-Suchabfragen
    • Arbeiten mit der Abfragesyntax zur Kollektoren-Kombination und zur Erstellung von leistungsfähigen Suchausdrücken
    • Ergreifung von Maßnahmen bei Suchergebnissen zur Ausführung von einem Reaktionscode auf verwalteten Endpunkten
    • Analyse einer Untersuchung anhand der wichtigsten Ergebnisse und entdeckten Artefakte
    • Detailanzeige zu untersuchten Objekten, verknüpften Untersuchungen, Untersuchungsleitfäden und ähnlichen Fällen im untersuchten Workspace

    Katalog
    • Navigation zum Katalog-Dashboard für die Anzeige integrierter Kollektoren und Reaktionen
    • Verwendung des Katalog-Dashboards zum Erstellen oder Löschen von Kollektoren von Reaktionen

    Action History
    • Anzeige der Details von durchgeführten Aktionen über das Dashboard Action History

    Performance-Metriken
    • Anzeige der Performance-Metrikseite zur Analyse des Zeitaufwands für die Lösung von Untersuchungen

    Troubleshooting
    • Zu ergreifende Maßnahme bei keinen ersichtlichen Ereignissen im Monitoring Dashboard
    • Anzeige des MVISION EDR Mietstatus
    • Durchführung der Troubleshooting-Schritte bei Untersuchungen
    • Troubleshooting bei der Data Exchange Layer (DXL)-Konnektivität

    Anwendungsfälle
    • Verwendung des Monitoring Dashboards zur Identifizierung von Bedrohungen
    • Erstellung einer Untersuchung
    • Das unter Quarantäne stellen eines Prozesses
    • Durchführung einer eingehenden Analyse mithilfe der Echtzeitsuche
    • Optimierung der Vertrautheit und des Arbeitsablaufs mit MVISION EDR

    Incident Respone (IR)
    • Überprüfung der Definition eines Cyber-Security-Vorfalls
    • Die verschiedenen Vektoren von Cybervorfällen
    • IR und ihre Bedeutung
    • Der IR-Lebenszyklus
    • Die Datenquellen bei einer oder während einer digitalen forensischen Untersuchung
    • Auflistungen der Reihenfolge der Flüchtigkeit in Bezug auf digitale Artefakte
    • Die Grundsätze des Umgangs mit Beweismitteln
    • Aufrechterhaltung der Beweiskette
    • Die benötigten Tools die für IR
    • Beschaffung der Beweismittel

    Threat Hunting
    Die Definition der Threat Hunting
    • Das erforderliche Threat Hunting und seine Gründe
    • Der Treiber der Threat Hunting Plattform
    • Die verschiedenen Arten des Threat Hunting
    • Theorien und Modelle des Threat Hunting
    • Das Reifegradmodell für Threat Hunting
    • Die fortgeschrittenen persistenten Threats
    • Threat Hunting Tipps


    Zielgruppen

    • Analysten
    • Ingenieure


    Preise und Termine

    offene Schulung
    Eine offene Schulung findet in einem unserer Schulungszentren statt.
    Dauer:2 Tage
    Preis:1.250,00 € zzgl. USt. pro Teilnehmer (1.487,50€ inkl. USt.)
    Seminarstandorte:
    Starttermine:
    (ortsabhängig)


    Unterlagen:zzgl.
    Verpflegung:zzgl.
    Prüfung/Zertifizierung:zzgl.
    Firmenschulung
    Eine Firmenschlung kann sowohl bei Ihnen vor Ort als auch in einem unserer Schulungszentren stattfinden.
    Dauer:2 Tage
    Preis ab:1.750,00 € zzgl. USt. pro Tag (2.082,50€ inkl. USt.)
    Schulungszentren:
    • Hamburg
    • Berlin
    • Frankfurt
    • München
    • Nürnberg
    • Düsseldorf
    • Wien
    • Stuttgart
    • Hannover
    • Köln
    • Dortmund
    Starttermin:individuelle Vereinbarung
    Unterlagen:zzgl.
    Verpflegung:zzgl.
    Prüfung/Zertifizierung:zzgl.

    Software

    McAfee MVISION Endpoint Detection and Respone (EDR)

    Die Seminarunterlagen sind in englischer Sprache



    Seminarsprache

    Wir bieten unsere Seminare hauptsächlich in deutscher Sprache an – je nach Wunsch aber gerne auch in Englisch oder einer anderen Seminarsprache. Bitte fragen Sie doch einfach bei uns an.