مدونة

ما ستتعلمه من خلال برنامج شهادة GCIA: دليل شامل

GCIA Certification
2023-04-11
4 دقائق القراءة
Amit Masih
GCIA Certification Program-Top Skills You will Learn.png

إذا كنت مهتمًا بمهنة أمن المعلومات، فإن برنامج شهادة GIAC GCIA سيكون أهم دورة لك. تعتبر دورة شهادة GCIA هي الدورة الأكثر تحديًا ولكنها أيضًا الدورة الأكثر مكافأة.

لا توجد دورة أفضل يمكنك الالتحاق بها إذا كنت تريد معرفة كيفية إجراء البحث الفعال عن التهديدات للكشف عن أنشطة اليوم صفر على شبكتك قبل أن تصبح عامة. لا ينبغي للأشخاص الذين يريدون فهم تنبيهات مراقبة الشبكة التي يتم إنشاؤها بواسطة أداة جاهزة الالتحاق بشهادة GCIA.

ومع ذلك، فإن شهادات GCIA مخصصة لأولئك الذين يرغبون في الحصول على نظرة ثاقبة عميقة لما يحدث في شبكاتهم اليوم ويشتبهون في وجود مشكلات خطيرة لا تبلغ عنها أدواتهم الآن.

ما هي شهادة محلل التسلل المعتمد من GIAC (GCIA)؟

شهادة محلل التسلل المعتمد من GIAC (GCIA) هي اعتماد محايد للبائع مصمم للتحقق من صحة معرفة ومهارات الممارس في الكشف عن التسلل وتحليله. مع شهادة GIAC GCIA، ستتمكن من تكوين أنظمة اكتشاف التسلل ومراقبتها، وقراءة وتفسير وتحليل حركة مرور الشبكة وملفات السجل، وفهم ما يحدث على الشبكة.

من أجل الحصول على شهادة GIAC GCIA، سيُطلب منك اجتياز اختبار مراقب يغطي أهداف الاختبار المختلفة، مثل تحليل حركة مرور الشبكة وإنشاء التوقيعات وتحليل السجلات والتعامل مع الحوادث. يوجد 106 سؤال اختيار من متعدد في اختبار GIAC GCIA. يستغرق إكمال اختبار شهادة GCIA أربع ساعات. من أجل اجتياز اختبار GCIA، تحتاج إلى درجة لا تقل عن 67%.

فيما يلي المجالات التي يغطيها اختبار GCIA:

  • أساسيات تحليل حركة المرور وبروتوكولات التطبيق
  • أنظمة اكتشاف التسلل مفتوحة المصدر: Snort وZeek
  • تحليل حركة مرور الشبكة ومراقبتها

من يمكنه الحصول على شهادة GCIA؟

  • الممارسون المسؤولون عن اكتشاف الاختراق
  • محللو النظام
  • محللو الأمان
  • مهندسو الشبكات
  • مسؤولي الشبكات
  • مديرو الأمن العمليون

ستتعلم المهارات التالية

  • تحليل حركة المرور على موقعك لتجنب أن تصبح عنوانًا رئيسيًا آخر
  • كيفية تحديد تهديدات اليوم صفر التي لم تحددها أي أداة مراقبة للشبكة
  • مراقبة الشبكة: كيفية وضعها وتخصيصها وضبطها
  • كيفية فرز تنبيهات الشبكة، وخاصة أثناء وقوع حادث
  • تحديد ما حدث، ومتى حدث، ومن فعل ذلك من خلال إعادة بناء الأحداث
  • خبرة عملية في الطب الشرعي للشبكة والكشف والتحليل
  • بروتوكولات TCP/IP والتطبيق الشائعة لاكتساب نظرة ثاقبة لحركة المرور على الشبكة، مما يتيح لك التمييز بين حركة المرور العادية وغير العادية
  • مراقبة الشبكات القائمة على التوقيع: المزايا والعيوب
  • مراقبة الشبكات السلوكية للارتباط الآلي على مستوى المؤسسة وكيفية استخدامها بشكل فعال
  • إجراء نمذجة فعالة للتهديدات لأنشطة الشبكة
  • ترجمة نمذجة التهديدات إلى قدرات الكشف عن تهديدات اليوم صفر
  • تحليل بيانات التدفق في الشبكات التقليدية والهجينة والسحابية لتحسين الكشف

ستتمكن من

  • تكوين وتشغيل Snort وSuricata
  • إنشاء وكتابة قواعد Snort وSuricata وFirePOWER فعّالة وكفؤة.
  • تكوين وتشغيل Zeek مفتوح المصدر لتوفير إطار عمل تحليل حركة مرور هجين.
  • إنشاء نصوص ارتباط آلية للبحث عن التهديدات في Zeek.
  • فهم طبقات مكونات TCP/IP لتحديد حركة المرور الطبيعية وغير الطبيعية لتحديد التهديدات.
  • استخدام أدوات تحليل حركة المرور لتحديد علامات الاختراق أو التهديد النشط.
  • إجراء تحليلات جنائية للشبكة للتحقيق في حركة المرور لتحديد TTPs والعثور على التهديدات النشطة.
  • استخراج الملفات وأنواع أخرى من المحتوى من حركة مرور الشبكة لإعادة بناء الأحداث.
  • إنشاء مرشحات BPF لفحص سمة حركة مرور معينة على نطاق واسع بشكل انتقائي.
  • إنشاء حزم باستخدام Scapy.
  • استخدام أدوات NetFlow/IPFIX للعثور على شذوذ سلوك الشبكة والتهديدات المحتملة.
  • استخدم معرفتك بهندسة الشبكة والأجهزة لتخصيص وضع أجهزة استشعار مراقبة الشبكة وتعقب حركة المرور عبر السلك.

منهج امتحان شهادة GCIA

SEC503.1: مراقبة وتحليل الشبكة: الجزء الأول

يوفر هذا القسم تغطية عميقة لمجموعة بروتوكولات TCP/IP، مما يجهزك لمراقبة التهديدات واكتشافها بشكل أفضل في البنية التحتية السحابية أو التقليدية. تسمى الخطوة الأولى دورة "الحزم كلغة ثانية". من أجل تحديد التهديدات وتحديد TTPs، ينغمس الطلاب على الفور في تحليل الحزم منخفض المستوى لجمع الحزم المستخدمة في هجمات اليوم صفر والهجمات الأخرى. طوال هذا القسم، سيتعلم الطلاب أساسيات اتصالات TCP/IP، ونظرية البتات والبايتات والثنائية والسداسية عشر، ومعنى كل حقل والسلوك المتوقع. يتعلم الطلاب كيفية استخدام أدوات مثل Wireshark وTcpdump لتحليل حركة المرور.

مفاهيم TCP/IP

  • لماذا من الضروري فهم رؤوس الحزم والبيانات؟
  • نموذج اتصالات TCP/IP
  • تغليف/إلغاء تغليف البيانات
  • البتات والبايتات والثنائيات والسداسية

مقدمة عن Wireshark

  • التنقل في Wireshark
  • ملفات تعريف Wireshark
  • فحص خيارات إحصائيات Wireshark
  • إعادة تجميع الدفق
  • العثور على المحتوى في الحزم

طبقة الوصول إلى الشبكة/الارتباط: الطبقة 2

  • مقدمة عن طبقة الارتباط
  • بروتوكول حل العناوين
  • هجمات ودفاعات الطبقة 2

طبقة IP: الطبقة 3

  • IPv4
  • فحص الحقول في النظرية والتطبيق
  • مجموعات الاختبار وأهميتها، وخاصة لمراقبة الشبكة والتهرب منها
  • التجزئة: حقول رأس IP المشاركة في التجزئة، وتكوين الشظايا، وهجمات التجزئة الحديثة

معالجة سطر أوامر UNIX

  • معالجة الحزم بكفاءة
  • تحليل البيانات وتجميعها للإجابة على الأسئلة والبحث في الشبكة
  • استخدام التعبيرات العادية لتحليل أسرع

SEC503.2: مراقبة الشبكة وتحليلها: الجزء الثاني

يختتم هذا القسم الجزء "الحزم كلغة ثانية" من الدورة ويهيئ المسرح لمناقشة أعمق بكثير في المستقبل. سيكتسب الطلاب فهمًا عميقًا لبروتوكولات طبقة النقل الأساسية المستخدمة في نموذج TCP/IP، بالإضافة إلى كيفية تأثير الاتجاهات الحديثة على استخدامها. في هذا الدرس، ستتعلم كيفية تحليل حركة المرور الخاصة بك باستخدام Wireshark وTCPdump. باستخدام مرشحات العرض Wireshark ومرشحات حزم Berkeley، ينصب التركيز على تصفية البيانات واسعة النطاق حتى حركة المرور ذات الأهمية من أجل اكتشاف التهديدات في البنية الأساسية التقليدية والمستندة إلى السحابة. يغطي هذا القسم أيضًا الابتكارات الحديثة التي لها آثار خطيرة للغاية على مراقبة الشبكة الحديثة، بما في ذلك معنى ووظيفة كل حقل رأس.

مرشحات العرض من Wireshark

  • فحص بعض الطرق العديدة التي يسهل بها Wireshark إنشاء مرشحات العرض
  • تكوين مرشحات العرض

كتابة مرشحات BPF

  • انتشار BPF وفائدة المرشحات
  • تنسيق مرشحات BPF
  • استخدام إخفاء البتات

TCP

  • فحص الحقول من الناحية النظرية والتطبيق
  • تشريح الحزم
  • مجموعات الاختبار
  • التحفيز والاستجابة الطبيعية وغير الطبيعية لـ TCP
  • أهمية إعادة تجميع TCP لـ IDS/IPS

UDP

  • فحص الحقول من الناحية النظرية والتطبيق
  • التحفيز والاستجابة لـ UDP

ICMP

  • فحص الحقول من الناحية النظرية والتطبيق
  • متى لا ينبغي إرسال رسائل ICMP
  • الاستخدام في رسم الخرائط والاستطلاع
  • ICMP الطبيعي
  • ICMP الخبيث

IP6

  • الأساسيات
  • التحسينات على IP6
  • بروتوكولات البث المتعدد وكيفية الاستفادة منها بواسطة IP6
  • IP6 التهديدات

التطبيق في العالم الحقيقي: البحث في الشبكة

  • من هم المتحدثون الرئيسيون؟
  • ما الذي يتصل به الأشخاص؟
  • ما الخدمات التي تعمل على شبكتنا؟
  • ما نوع حركة المرور من الشرق إلى الغرب الموجودة؟

SEC503.3: اكتشاف التهديدات والاستجابة لها استنادًا إلى التوقيع

يعتمد القسم الثالث من الدورة على القسمين الأولين من خلال النظر في بروتوكولات طبقة التطبيق. باستخدام هذه المعرفة، ستتعلم كيفية اكتشاف التهديدات في السحابة ونقطة النهاية والشبكات الهجينة والبنية الأساسية التقليدية. سيتعلم الطلاب أيضًا عن أداة صياغة الحزم القوية المستندة إلى Python Scapy، والتي تسمح للطلاب بالتلاعب بالحزم وإنشائها وقراءتها وكتابتها. يمكنك استخدام Scapy لصياغة الحزم لاختبار قدرة أداة المراقبة أو جدار الحماية على الكشف. على وجه الخصوص، يعد هذا مهمًا عند إضافة ثغرة أمنية تم الإعلان عنها حديثًا إلى قاعدة مراقبة الشبكة التي أنشأها المستخدم.

Scapy

  • إنشاء الحزم وتحليلها باستخدام Scapy
  • كتابة الحزم إلى الشبكة أو ملف Pcap
  • قراءة الحزم من الشبكة أو من ملف Pcap
  • استخدامات Scapy العملية لتحليل الشبكة ومدافعي الشبكة

برنامج Wireshark المتقدم

  • تصدير الويب وغيره من الكائنات المدعومة
  • استخراج محتوى تطبيق عشوائي
  • التحقيق في حادثة باستخدام Wireshark
  • استخدام برنامج Wireshark العملي لتحليل نشاط بروتوكول SMB
  • Tshark

مقدمة إلى Snort/Suricata

  • تكوين الأدوات والتسجيل الأساسي
  • كتابة قواعد بسيطة
  • استخدام الخيارات الشائعة

برنامج Snort/Suricata الفعّال

  • محتوى أكثر تقدمًا حول كتابة قواعد فعّالة حقًا للشبكات الكبيرة جدًا
  • فهم كيفية كتابة قواعد مرنة لا يمكن تجاوزها أو التهرب منها بسهولة
  • نهج Snort/Suricata "اختر مغامرتك الخاصة" لجميع الأنشطة العملية
  • الفحص التدريجي لاستغلال متطور، وتحسين تدريجي لـ قاعدة للكشف عن جميع أشكال الهجوم
  • تطبيق Snort/Suricata على بروتوكولات طبقة التطبيق

DNS

  • بنية DNS ووظيفتها
  • DNSSEC
  • التطورات الحديثة في DNS، مثل EDNS (DNS الموسع)
  • DNS الخبيث، بما في ذلك تسميم ذاكرة التخزين المؤقت
  • إنشاء قواعد لتحديد أنشطة التهديد في DNS

بروتوكولات Microsoft

  • SMB/CIFS
  • تحديات الكشف
  • تطبيق عملي لـ Wireshark

HTTP الحديث

  • تنسيق البروتوكول
  • لماذا وكيف يتطور هذا البروتوكول
  • تحديات الكشف
  • التغييرات مع HTTP2 وHTTP3

كيفية البحث عن بروتوكول

  • استخدام QUIC كدراسة حالة
  • مقارنة GQUIC وIETF QUIC

تطبيق في العالم الحقيقي: تحديد حركة المرور ذات الأهمية

  • العثور على بيانات التطبيق الشاذة داخل مستودعات الحزم الكبيرة
  • استخراج السجلات ذات الصلة
  • البحث عن التطبيقات وتحليلها

SEC503.4: بناء تهديد اليوم صفر أنظمة الكشف

يتناول القسم الرابع بعمق أنظمة الكشف عن التسلل الحديثة والمستقبلية استنادًا إلى المعرفة المكتسبة من الأقسام الثلاثة الأولى. من خلال الجمع بين كل ما تعلمه الطلاب حتى الآن، يمكن للطلاب الآن تصميم قدرات الكشف عن التهديدات التي تتفوق كثيرًا على Snort/FirePower/Suricata وجدران الحماية من الجيل التالي من خلال الكشف السلوكي المتقدم باستخدام Zeek (أو Corelight).

هندسة الشبكة

  • تجهيز الشبكة لجمع حركة المرور
  • استراتيجيات نشر مراقبة الشبكة واكتشاف التهديدات
  • الأجهزة اللازمة لالتقاط حركة المرور

مقدمة عن مراقبة الشبكة على نطاق واسع

  • وظيفة أدوات مراقبة الشبكة
  • دور المحلل في الكشف
  • عملية تدفق التحليل

Zeek

  • مقدمة عن Zeek
  • أوضاع تشغيل Zeek
  • سجلات مخرجات Zeek وكيفية استخدامها
  • تحليل التهديدات العملية ونمذجة التهديدات
  • برمجة Zeek
  • استخدام Zeek لمراقبة السلوكيات ذات الصلة وربطها

نظرية التهرب من IDS/IPS

  • نظرية وتداعيات التهرب في طبقات البروتوكول المختلفة
  • أخذ عينات من التهرب
  • ضرورة الكشف القائم على الهدف
  • التهرب من مراقبة اليوم صفر

SEC503.5: اكتشاف التهديدات واسعة النطاق والتحليلات الجنائية

ينصب التركيز في هذا القسم على التمارين العملية بدلاً من التعليم الرسمي. يغطي هذا القسم ثلاثة مجالات رئيسية، بدءًا من التحليل والتجميع واسع النطاق القائم على البيانات باستخدام NetFlow وIPFIX. مع الخلفية البروتوكولية المكتسبة من القسم الأول من الدورة، يمكن استخدام NetFlow لإجراء البحث عن التهديدات في السحابة وعلى البنى التحتية التقليدية. بعد تغطية الأساسيات، سينتقل الطلاب إلى تحليل أكثر تقدمًا واكتشاف التهديدات باستخدام وبناء استعلامات NetFlow المخصصة. يقدم المجال الثاني تحليلات حركة المرور، ويستمر في موضوع التحليل واسع النطاق. يتم تقديم مجموعة متنوعة من الأدوات والتقنيات للبحث عن التهديدات التي لم يتم اكتشافها بعد، وبعد ذلك تتاح للطلاب الفرصة لوضعها موضع التنفيذ. ستغطي الدورة أيضًا التطبيقات المتطورة للذكاء الاصطناعي والتعلم الآلي للكشف عن الشذوذ. يتضمن المجال الأخير من هذا القسم الطب الشرعي للشبكة وإعادة بناء الحوادث. سيعمل كل طالب على ثلاث حوادث عملية مفصلة باستخدام الأدوات والتقنيات التي تعلمها طوال الدورة.

استخدام سجلات تدفق الشبكة

  • تحليل بيانات التعريف الخاصة بـ NetFlow وIPFIX
  • استخدام SiLK للعثور على الأحداث ذات الأهمية
  • تحديد الحركة الجانبية عبر بيانات NetFlow
  • بناء استعلامات NetFlow مخصصة

البحث عن التهديدات وتصورها

  • طرق مختلفة لإجراء البحث عن التهديدات الشبكية على نطاق المؤسسة في الشبكات
  • تمارين تتضمن طرقًا لتصور سلوكيات الشبكة لتحديد الشذوذ
  • تطبيقات علم البيانات لتبسيط عمليات الأمان وإجراء البحث عن التهديدات
  • تجربة نظام قائم على الذكاء الاصطناعي لتحديد الشذوذ في بروتوكول الشبكة على شبكة محمية

مقدمة إلى تحليل الطب الشرعي للشبكة

  • نظرية تحليل الطب الشرعي للشبكة
  • مراحل الاستغلال
  • التحليل القائم على البيانات مقابل التحليل القائم على التنبيهات
  • التصور القائم على الفرضيات

SEC503.6: مشروع التخرج المتقدم لمراقبة الشبكة واكتشاف التهديدات

يختتم هذا المساق بمشروع التخرج العملي لمراقبة الشبكة واكتشاف التهديدات المستند إلى الخادم والذي يشكل تحديًا وممتعًا في نفس الوقت. في هذه الدورة، يتنافس الطلاب كأفراد أو في فرق للإجابة على أسئلة مختلفة باستخدام الأدوات والنظريات التي يتعلمونها. بناءً على ستة أقسام من البيانات الواقعية، يتضمن التحدي التحقيق في حادثة حساسة للوقت. أثناء هذا الحدث "المشاركة"، يجيب الطلاب على الأسئلة بناءً على نفس تحليل البيانات الذي أجراه فريق من المحللين المحترفين.

خلاصة القول

من خلال الحصول على شهادة محلل التطفل GIAC، يثبت الممارسون معرفتهم بمراقبة الشبكة والمضيف وتحليل حركة المرور واكتشاف التطفل. من خلال شهادة GIAC GCIA، يمكنك تكوين أنظمة اكتشاف التطفل ومراقبتها وقراءة حركة المرور على الشبكة وملفات السجل وتفسيرها وتحليلها.

شهادة GCIA متاحة الآن. إذا كنت تبحث عن مركز امتحان بالوكالة، فقد وصلت إلى المكان الصحيح! فريق CBT Proxy موجود هنا لمساعدتك في اجتياز امتحانك في محاولتك الأولى. يرجى النقر فوق زر الدردشة أدناه للتحدث مع أحد مستشارينا حول الامتحان.

نحن نقدم الحل الشامل لجميع احتياجاتك ونقدم عروضًا مرنة ومخصصة لجميع الأفراد اعتمادًا على مؤهلاتهم التعليمية والشهادات التي يرغبون في تحقيقها.
Certifications
AWS SAA - C03PMI PMPCISCO CCNAcompTIA Security+ISACA CISMWGU Online Degree
مجتمع
شهاداتناقسيمة الامتحان المتوقفةالأسئلة الشائعةسياسة الخصوصيةالشروط والأحكامالاسترداد والإلغاء
معلومات الاتصال
+1 (415) 830-6004info@cbtproxy.com
وسائل التواصل الاجتماعي

جميع الحقوق محفوظة © 2024.

الدردشة معنا