Защита email-трафика с помощью Cisco Email Security Appliance (SESA) v3.0

Целевая аудитория

• Инженеры безопасности
• Администраторы систем безопасности
• Архитекторы решений по обеспечению безопасности
• Сетевые инженеры
• Сетевые администраторы
• Технические специалисты, работающие с ESA
• Сетевые менеджеры
• Системные архитекторы
• Интеграторы и партнеры Cisco

Предварительные знания и навыки

Слушатели данного курса должны обладать опытом работы и знаниями в следующих областях:

• Основы TCP/IP, включая IP адресацию и разбиение сетей на подсети, статическую маршрутизацию, DNS
• Опыт работы с SMTP и знания о форматах Интернет сообщений, форматов и частей MIME сообщений
• Опыт работы с командной строкой и графическим интерфейсом AsyncOS рекомендуется.

Цели курса

После прохождения данного курса слушатели будут уметь:

• Понимать принципы работы Cisco Email Security Appliance (ESA)
• Администрировать Cisco Email Security Appliance (ESA)
• Контролировать спам с помощью Talos SenderBase
• Использовать антивирусную защиту
• Использовать централизованные политики
• Использовать фильтры контента
• Использовать фильтры сообщений
• Настраивать механизм предотвращения утечки данных
• Настраивать и использовать запросы в LDAP
• Аутентифицировать сессии Simple Mail Transfer Protocol (SMTP)
• Использовать аутентификацию для писем
• Шифровать писем
• Использовать системные карантины
• Настраивать кластер
• Тестировать работу платформы, устранять неполадки

Программа курса

1. Обзор платформы Cisco Email Security Appliance

• Обзор Cisco Email Security Appliance
• Обзор основных технологий
• Cisco Email Security Appliance Data Sheet
• Обзор SMTP
• Обзор процесса обработки Email
• Сценарии установки
• Базовая настройка Cisco Email Security Appliance
• Централизованные сервисы Cisco Content Security Management Appliance (SMA)
• Обзор версии ОС AsyncOS 11.x

2. Администрирование Cisco Email Security Appliance

• Управление системой
• Управление и мониторинг с использованием Command Line Interface (CLI)
• Расширенные настройки в GUI
• Расширенные сетевые настройки
• Использование Email Security Monitor
• Отслеживание сообщений
• Логирование

3. Контролирование доменов отправителей и получателей

• Настройка публичных и частных Listeners
• Таблица отправителей (HAT)
• Таблица получателей (RAT)
• Настройка маршрутизации и функций доставки

4. Контролирование спама с использованием SensorBase и Anti-Spam

• Обзор SenderBase
• Anti-Spam
• Управление Graymail
• Cписки URL на основе репутации
• Анализ и фильтрация файлов на основе репутации
• Подтверждение отказов

5. Использование возможностей Anti-Virus и фильтров Outbreak Filters

• Обзор антивирусного сканирования
• Антивирусная фильтрация Sophos
• Фильтрация McAfee
• Сканирование вирусов
• Outbreak Filters
• Управление фильтрами Outbreak Filters

6. Использование Mail-политик

• Обзор Email Security Manager
• Обзор политик Mail Policies
• Совпадение пользователей с политикой Mail Policy
• Разделение сообщения
• Настройка политик Mail Policies

7. Использование фильтров контента

• Обзор
• Условия
• Действия
• Фильтрация сообщений на основе контента
• Обзор текстовых ресурсов
• Тестирование правил фильтрации на основе словарей
• Text Resources
• Управление Text Resource

8. Использование Message Filters в политиках

• Обзор Message Filters
• Компоненты
• Процесс работы фильтров
• Правила
• Действия фильтров
• Сканирование вложений
• Использование CLI для управления фильтрами сообщений
• Примеры
• Настройка Scan Behavior

9. Защита от утечки данных

• Обзор процесса сканирования Data Loss Prevention (DLP)
• Настройка Data Loss Prevention
• Политики для защиты от утечки данных
• Действия
• Обновление движка DLP Engine и категорий сообщений

10. Использование LDAP

• Обзор LDAP
• Работа с LDAP
• Использование запросов LDAP Queries
• Настройка внешней аутентификации через LDAP для пользователей
• Тестирование серверов и запросов
• Использование LDAP для предотвращения атаки Directory Harvest Attack
• Spam Quarantine Alias Consolidation Queries
• Подтверждение получателя с использованием сервера SMTP

11. Аутентификация сессий SMTP

• Настройка AsyncOS для аутентификации SMTP
• Аутентификация сессий SMTP с использованием клиентских сертификатов
• Проверка подлинности клиентского сертификата
• Аутентификация пользователей с использованием LDAP Directory
• Аутентификация SMTP Connection Over Transport Layer Security (TLS) с использованием клиентских сертификатов
• Установление TLS-соединения с ESA
• Обновление списка отозванных сертификатов

12. Аутентификация Email

• Обзор
• Настройка подписей DomainKeys и DomainKeys Identified Mail (DKIM)
• Проверка входящих сообщений с помощью DKIM
• Обзор Sender Policy Framework (SPF) и проверки SIDF
• Domain-based Message Authentication Reporting and Conformance (DMARC)
• Обнаружение поддельных сообщений

13. Шифрование сообщений

• Обзор Cisco Email Encryption
• Шифрование сообщений
• Добавление заголовков шифрования к сообщению
• Message Transfer Agents (MTA)
• Работа с сертификатами
• Управление списком Certificate Authorities
• Включение TLS в Listener Host Access Table (HAT)
• Включение TLS и проверка сертификатов
• Secure/Multipurpose Internet Mail Extensions (S/MIME)

14. Системные карантины и методы доставки

• Описание карантинов
• Спам-карантин
• Централизованный спам-карантин
• Использование Safelists и Blocklists для контроля доставки сообщений
• Карантины Policy, Virus, Outbreak
• Управление карантинами
• Работа с сообщениями, которые находятся в различных карантинах
• Методы доставки

15. Централизованное управление с использованием кластеров

• Обзор
• Организация кластера
• Создание и подключение к кластеру
• Управление кластером
• Взаимодействие внутри кластера
• Загрузка конфигураций на платформы, которые собраны в кластер
• Рекомендации и лучшие практики

16. Тестирование и устранение неполадок

• Debugging Mail Flow Using Test Messages: Trace
• Устранение сетевых неполадок
• Устранение проблем Listener
• Устранение проблем с доставкой сообщения
• Нагрузка
• Оповещения о событиях
• Неполадки на физическом уровне
• Работа с технической поддержкой

17. Дополнительные ссылки

• Сравнение моделей для различных типов архитектур
• Требования к ресурсам для внедрения виртуальных ESA
• Лицензирование

Лабораторные работы:

• Проверка и тестирование настроек Cisco ESA
• Базовое администрирование
• Вредоносное ПО во вложениях (Macro Detection)
• Нежелательные URL в сообщениях
• Нежелательные URL внутри вложений
• Интеллектуальная обработка не сканируемых сообщений
• Исследование AMP Cloud Intelligence
• Интеграция Cisco ESA с AMP Console
• Антивирусная защита
• Фильтрация контента и использование Outbreak Filters
• Сканирование вложений
• Настройка Data Loss Prevention
• Интеграция Cisco ESA с LDAP, включение LDAP Accept Query
• Domain Keys Identified Mail (DKIM)
• Sender Policy Framework (SPF)
• Обнаружение поддельных сообщений
• Настройка Cisco SMA для мониторинга и создания отчетов

Группа

4-12 человек

Документ об окончании курса

Сертификат Cisco об окончании авторизованного курса (в электронном виде) и справка об обучении установленного образца: