|
上課地點: |
|
- 保安資訊二樓 LAB 教室 Tel:04-23815000 #169
- 40874台中市南屯區三和街150號(五權西路與永春東七路交叉口)
|
課程費用: |
|
- 新台幣伍仟元整(含稅、含午餐。限開課前10天匯款)。
- 本公司客戶免費參加(經銷商及特殊約定除外)。
- 請審慎安排上課時段,如需取消請7天前告知,以利資源充分利用。
- 學員必備基礎能力: 須會操作VMWARE Workstation /需曾經管理過SEPM V12.1X or V14.X
|
研習內容: |
|
Symantec Endpoint Protection V14.3 概觀: |
|
- Symantec Endpoint Protection 簡介與最新相關解決方案.
- Symantec Endpoint Protection 的元件/功能/運作架構說明.
- Symantec Endpoint Protection 的主要及新增(及移除)功能說明.
- SEP 14.2 RU9 新增功能說明.
|
|
Symantec Endpoint Protection 版本安裝(升級)說明: |
|
- 如何取得新版本V14.3 序號/軟體-License Portal 使用介紹.
- SEPM/ SEP系統各個元件-及系統安裝需求介紹.
- 一般安裝(升級)時需留意的因素.
- 系統需求說明-硬體、軟體、網路等/支援的升級版本.
- 安裝(升級)步驟(SEPM Server/SEP Clients)說明.
|
|
系統設定基礎工作重點說明: |
|
- SEPM的操作與UI簡介 :
- SEPM 與SEP 用戶端運作與通訊原理說明.
- SEPM六大頁籤(首頁、監視器、報告、政策、用戶端及管理員)概述/操作.
- SEPM的基本管理工作:
- 七大防護/管理政策概述/操作.
- 組織結構->網域/群組/使用者/電腦的簡介.
- SEPM伺服器基本設定,日誌/通知設定,報告管理.
|
|
進階課程大綱(DEMO/實作LAB): |
|
- 高可用度的SEPM,負載平衡/錯誤轉移&資料庫複寫實例.
- 位置感應政策的設定.
- 最佳化SEP/SEPM的病毒定義檔更新, Liveupdate設定(SEPM/SEP),GUP群組更新提供者的角色及實際應用.
- 定義檔更新與回溯,實作與QA.
- 自訂應用程式與裝置控管政策加強端點防護.
- 訂主機完整性政策來檢查或強制端點遵從.
- SEPM主控台備份/災害復原/主機移轉設定管理.
- 常見疑難排解與常用工具說明.
- SEP 與 EDR(前稱ATP:Endpoint) 整合.
- 視學員需要之選擇性主題:SEP 的詐騙技術(Deception)淺析.
- 視學員需要之選擇性主題:SEP 套用零信任模型,搭配應用程式隔離功能與防惡意軟體(SEP Hardening).
|
※ 課程常用簡稱說明: |
|
- SEP: 是Symantec™ EndPoint Protection的簡稱。就是賽門鐵克端點防護系統。
- SEPM: 是Symantec™ EndPoint Protection Manager的簡稱。就是管理SEP的中央主控台。透過SEPM能讓企業即時掌握用戶端的安全狀態(如病毒定義檔或入侵偵測的特徵檔沒更新、用戶端無故離線或自行停用/移除防護軟體),並依不同的安全與管理需求,制定/調整/套用/強制不同的群組政策。同時SEPM已內建Sybase資料庫也支援MS-SQL資料庫-速度更快的中央主控台:資料庫最佳化以加快回應速度。更支援複寫、容錯移轉和負載平衡安裝。
- GUP: 是Group Updater Provider-群組更新提供者的簡稱。將任何一部用戶端當成是內容更新的提供者,就能讓沒有IT人員的分公司或外點也能隨時保持更新的狀態,這個機制稱為GUP。
- Liveupdate: 是 Symantec 的線上更新機制之一, 是一種「提取」(Pull) 技術。一般都是用戶端直接向原廠的更新主機要求更新。大型企業或學校也能自行建置Liveupdate 主機,讓所有連線至Internet Liveupdate 主機的用戶端,直接向內部自行建置的更新主機要求更新,可以大大降低對外連線的頻寬消耗。自行建置Liveupdate 的機制,建議要對Liveupdate Administrator的相關設定及操作非常孰悉。
- 主機完整性檢查(Host Integrated): 藉由強制執行政策、偵測未經授權的變更並執行損害評估,以及找出不符合您需求的受管理系統,以確保端點受到保護並遵循法規。搭配使用威脅偵測產品,透過妥善協調的應變動作將受感染的端點隔離,在您矯正端點或為其重新建立影像前,迅速阻止感染散佈。
|
※ SEP 14.3 新版的新增功能及新的常用術語: |
|
- 即時雲端查詢技術的智慧型威脅雲端服務(ITCS:Intelligence Threat Cloud Service) : 防毒軟體仰賴病毒碼更新,導致病毒碼的檔案越來越大,讓使用者在自己電腦或行動裝置使用時會有效能的問題,速度很慢!賽門鐵克即時雲端查詢技術,可以把常用的病毒碼放在端點,很久沒用的病毒碼放在雲端,使用者不用每天更新所有的病毒碼。最終可以減少70%頻寬使用,提升15%掃描時間,效能提高15%。
- 機器學習(Advanced Machine Learning): 端點上的多面向機器學習可防止新型和未知的威脅,減少對病毒特徵的依賴。使用全球情報網上數以兆計的好壞檔案樣本來訓練機器學習,以大幅降低誤報率。這種進階機器學習技術會由我們的威脅專家持續訓練和微調。賽門鐵克將此技術與多層式防護結合,加上全球威脅情報,可以有效杜絕未知惡意程式和零時差威脅。機器學習是目前被公認為最高偵測率的防毒技術,副作用是有較高的誤判率,目前標榜機器學習技術的新創公司,誤判率的平均水準約在10%左右,而賽門鐵克的機器學習是同時與後端的全球最大智慧型威脅資料庫查詢(Symantec Global Intelligent Network),所以準確度高達 99.9%,為業界最低的誤判率。也就是說SEP 14 用機器學習技術來提升高偵測率,由多種定義檔來確保最低的誤判率並維持最高的效能。賽門鐵克每天掃描數十億筆電子郵件流量,每天分析超過2,500萬個檔案,不管好檔案、壞檔案,每個檔案取得155個檔案屬性,讓機器學習。也能發現最新的攻擊模式,同步更新在所有用戶端。光是2015年,賽門鐵克就發現4.3支億惡意程式。「先前是偵測未知病毒的準確度是43%,現在已提升到87%。」,甚至不用透過病毒碼比對,只用舊的病毒碼,就能偵測到未知的資安威脅。
- 模擬器(Emulator): 現在有很多攻擊會透過另外的程式包裝,約占80%,所以如果是透過單純的病毒樣本比對,不見得可以識別出它是惡意程式,可能會被辨識成新的惡意程式。以前常會說要在企業內部網路環境裝一個特殊的隔離環境「沙箱(sandbox)」,把疑似惡意程式的程式放在沙箱中執行,避免惡意程式直接感染內部環境。賽門鐵克在端點上用模擬器來驗證惡意程式,由於沙箱較占效能,而且有許多惡意程式都有繞過沙箱的機制,所以賽門鐵克先把程式「脫殼」,用反組譯(decompile)的方式還原每支程式的程式碼,再去比對病毒碼資料庫,才能真的發現惡意程式的真面目!
- 防一般攻擊程式(Generic Exploit Mitigation): 也稱為記憶體攻擊緩解/預防,使Heap Spray、SEHOP 覆寫和 Java 攻擊等零時差攻擊失去效力,以保護廠商尚未發佈修補程式的常用軟體,避免威脅。無論任何瑕疵、程式錯誤或漏洞,這項非病毒特徵型技術都能發揮效用。
- Java 攻擊防護:「防一般攻擊程式」會攔截嘗試停用 Windows Security Manager 的 Java Applet。有些漏洞攻擊會利用 Java Applet 關閉 Security Manager 來允許 Java 程式碼執行特許動作。
- 防堆積填充(Heap Spray):當攻擊者嘗試將其攻擊程式碼放置在預先決定的記憶體位置時,就會發生堆積填充攻擊。「防一般攻擊程式」會保留常用的記憶體位置,以防止攻擊者使用這些位置。
- 結構式例外處理覆寫防護(SEHOP:Structured exception handling overwrite protection):「防一般攻擊程式」提供結構式例外處理覆寫防護。Windows 提供此防護,但部分 Windows 作業系統預設停用此防護。侵入攻擊可利用覆寫例外處理常式函式,控制軟體的執行流程朝攻擊者的 Shell 程式碼進行。例外處理常式函式位址儲存在堆疊記憶體中,當存在堆疊緩衝溢位時,可輕易遭覆寫。
- 開放API做協同聯防: 門鐵克完成收購Blue Coat之後,讓賽門鐵克可以做到端點和閘道的聯防,開放端點的API,讓企業自己去接其他防護技術,讓閘道和端點的病毒碼互通,達到所有設備的「聯防」效果。
- 與EDR 主控台(ATP:Endpoint) 整合性: Symantec Endpoint Protection 已與 Symantec EDR 主控台 (Advanced Threat Protection (ATP:Endpoint)) 整合,可排定攻擊的優先順序,更快速地偵測目標式攻擊和進階持續性威脅,並做出回應且加以封鎖。EDR (端點偵測和回應) 功能已內建於 Symantec Endpoint Protection,因此無需部署額外的代理程式。*EDR:端點偵測與回應解決方案(Endpoint Detection and Response,EDR)這是全新的資安技術名詞。EDR的目的是為了滿足端點對進階威脅的持續防護需求,補足現有端點防護方案的不足(著重於預防,但偵測與回應的能力很弱)。 EDR 能大幅提升端點安全監控、威脅偵測及事件回應能力。這些工具記錄了數量可觀的端點與網路事件,將這些資訊儲存在一個集中的資料庫。接著利用分析工具來不斷搜尋資料庫,尋找可提升安全並防範一般攻擊的工作,即早發現持續攻擊(包括內賊威脅),並且快速回應這些攻擊。這些工具還有助於迅速調查攻擊範圍,並提供矯正能力。
|
|
請填寫以下報名資訊 |
|
|
|
|
|