Blog

Lo que aprenderá con el programa de certificación GCIA: una guía completa

GCIA Certification
2023-04-11
4 minutos de lectura
Amit K
Here’s What You Will Learn with GREM Certification Program-Explained.png

Si está interesado en una carrera en seguridad de la información, el programa de certificación GCIA de GIAC será su curso más importante. El curso de certificación GCIA se considera el más desafiante, pero también el más gratificante.

No hay mejor curso para tomar si desea aprender a realizar una búsqueda eficaz de amenazas para detectar actividades de día cero en su red antes de que se hagan públicas. Las personas que desean comprender las alertas de monitoreo de red generadas por una herramienta lista para usar no deben tomar la certificación GCIA.

Sin embargo, las certificaciones GCIA son para aquellos que desean tener un conocimiento profundo de lo que está sucediendo en sus redes hoy y sospechan problemas graves que sus herramientas no están informando en este momento.

¿Qué es la certificación GIAC Certified Intrusion Analyst (GCIA)?

La certificación GIAC Certified Intrusion Analyst (GCIA) es una credencial independiente del proveedor diseñada para validar el conocimiento y las habilidades del profesional en detección y análisis de intrusiones. Con la certificación GIAC GCIA, podrá configurar y monitorear sistemas de detección de intrusiones, leer, interpretar y analizar el tráfico de red y los archivos de registro, y comprender lo que sucede en la red.

Para obtener la certificación GIAC GCIA, deberá aprobar un examen supervisado que cubra varios objetivos del examen, como análisis del tráfico de red, creación de firmas, análisis de registros y manejo de incidentes. Hay 106 preguntas de opción múltiple en el examen GIAC GCIA. Se necesitan cuatro horas para completar el examen de certificación GCIA. Para aprobar el examen GCIA, necesita una puntuación de al menos el 67 %.

A continuación, se detallan las áreas cubiertas en el examen GCIA:

  • Fundamentos del análisis de tráfico y protocolos de aplicación
  • IDS de código abierto: Snort y Zeek
  • Análisis forense y monitoreo del tráfico de red

¿Quién puede realizar la certificación GCIA?

  • Profesionales responsables de la detección de intrusiones
  • Analistas de sistemas
  • Analistas de seguridad
  • Ingenieros de red
  • Administradores de red
  • Gerentes de seguridad prácticos

Aprenderá las siguientes habilidades

  • Analizar el tráfico de su sitio para evitar convertirse en otro titular
  • Cómo identificar amenazas de día cero que ninguna herramienta de monitoreo de red ha identificado
  • Monitoreo de red: cómo colocarlo, personalizarlo y ajustarlo
  • Cómo clasificar las alertas de red, especialmente durante un incidente
  • Identificar qué sucedió, cuándo sucedió y quién lo hizo mediante la reconstrucción de eventos
  • Experiencia práctica con análisis, detección y análisis forense de red
  • TCP/IP y protocolos de aplicación comunes para obtener información sobre el tráfico de su red, lo que le permitirá distinguir el tráfico normal del anormal
  • Monitoreo de redes basadas en firmas: ventajas y desventajas
  • Monitoreo de redes de comportamiento para correlación automatizada en toda la empresa y cómo usarlas de manera efectiva
  • Realizar un modelado de amenazas efectivo para actividades de red
  • Traducir el modelado de amenazas en capacidades de detección de amenazas de día cero
  • Analizar datos de flujo en entornos tradicionales, híbridos y Redes en la nube para mejorar la detección

Podrás

  • Configurar y ejecutar Snort y Suricata
  • Crear y escribir reglas eficaces y eficientes para Snort, Suricata y FirePOWER.
  • Configurar y ejecutar Zeek de código abierto para proporcionar un marco de análisis de tráfico híbrido.
  • Crear scripts de correlación de búsqueda de amenazas automatizadas en Zeek.
  • Comprender las capas de componentes TCP/IP para identificar el tráfico normal y anormal para la identificación de amenazas.
  • Utilizar herramientas de análisis de tráfico para identificar señales de un compromiso o una amenaza activa.
  • Realizar análisis forense de red para investigar el tráfico e identificar TTP y encontrar amenazas activas.
  • Extraer archivos y otros tipos de contenido del tráfico de red para reconstruir eventos.
  • Crear filtros BPF para examinar un rasgo de tráfico particular a escala de forma selectiva.
  • Elaborar paquetes con Scapy.
  • Utilizar herramientas NetFlow/IPFIX para encontrar anomalías en el comportamiento de la red y amenazas potenciales.
  • Utilice su conocimiento de la arquitectura de red y el hardware para personalizar la ubicación de los sensores de monitoreo de red y rastrear el tráfico del cable.

Temario del examen de certificación GCIA

SEC503.1: Monitoreo y análisis de red: Parte I

Esta sección proporciona una cobertura profunda de la pila de protocolos TCP/IP, preparándolo para monitorear y detectar mejor las amenazas en su nube o infraestructura tradicional. El primer paso se llama curso "Paquetes como segundo idioma". Para identificar amenazas e identificar TTP, los estudiantes se sumergen inmediatamente en el análisis de paquetes de bajo nivel para recopilar los paquetes utilizados en ataques de día cero y otros ataques. A lo largo de esta sección, los estudiantes aprenderán los fundamentos de la comunicación TCP/IP, la teoría de bits, bytes, binarios y hexadecimales, y el significado y el comportamiento esperado de cada campo. Los estudiantes aprenden a usar herramientas como Wireshark y Tcpdump para analizar el tráfico.

Conceptos de TCP/IP

  • ¿Por qué es necesario comprender los encabezados y datos de los paquetes?
  • El modelo de comunicaciones TCP/IP
  • Encapsulación/desencapsulación de datos
  • Bits, bytes, binario y hexadecimal

Introducción a Wireshark

  • Navegación por Wireshark
  • Perfiles de Wireshark
  • Examen de las opciones de estadísticas de Wireshark
  • Reensamblaje de flujos
  • Búsqueda de contenido en paquetes

Capa de acceso/enlace de red: Capa 2

  • Introducción a la capa de enlace
  • Protocolo de resolución de direcciones
  • Ataques y defensas de capa 2

Capa IP: Capa 3

  • IPv4
  • Examen de campos en teoría y práctica
  • Sumas de comprobación y su importancia, especialmente para la monitorización y evasión de redes
  • Fragmentación: campos de encabezado IP involucrados en la fragmentación, la composición de los fragmentos, ataques de fragmentación modernos

Procesamiento de línea de comandos UNIX

  • Procesamiento de paquetes de manera eficiente
  • Análisis y agregación de datos para responder preguntas e investigar una red
  • Uso de expresiones regulares para un análisis más rápido

SEC503.2: Monitoreo de redes y análisis: Parte II

Esta sección concluye la parte del curso "Paquetes como segundo lenguaje" y prepara el terreno para el debate mucho más profundo que se realizará más adelante. Los estudiantes adquirirán una comprensión profunda de los protocolos de capa de transporte primarios utilizados en el modelo TCP/IP, así como de cómo las tendencias modernas afectan su uso. En esta lección, aprenderá a analizar su propio tráfico utilizando Wireshark y TCPdump. Mediante el uso de filtros de visualización de Wireshark y filtros de paquetes de Berkeley, el enfoque está en filtrar datos a gran escala hasta el tráfico de interés para detectar amenazas en una infraestructura tradicional y basada en la nube. Esta sección también cubre innovaciones modernas que tienen implicaciones muy serias para el monitoreo de redes modernas, incluido el significado y la función de cada campo de encabezado.

Filtros de visualización de Wireshark

  • Análisis de algunas de las muchas formas en que Wireshark facilita la creación de filtros de visualización
  • Composición de filtros de visualización

Escritura de filtros BPF

  • La ubicuidad de BPF y la utilidad de los filtros
  • Formato de filtros BPF
  • Uso de enmascaramiento de bits

TCP

  • Análisis de campos en teoría y práctica
  • Disección de paquetes
  • Sumas de comprobación
  • Estímulo y respuesta TCP normales y anormales
  • Importancia del reensamblado TCP para IDS/IPS

UDP

  • Análisis de campos en teoría y práctica
  • Estímulo y respuesta UDP

ICMP

  • Análisis de campos en teoría y práctica
  • Cuándo no se deben enviar mensajes ICMP
  • Uso en mapeo y reconocimiento
  • ICMP normal
  • ICMP malicioso

IP6

  • Fundamentos
  • Mejoras con respecto a IP6
  • Protocolos de multidifusión y cómo los aprovecha IP6
  • Amenazas de IP6

Aplicación en el mundo real: investigación de un red

  • ¿Quiénes son los principales conversadores?
  • ¿A qué se conectan las personas?
  • ¿Qué servicios se están ejecutando en nuestra red?
  • ¿Qué tipo de tráfico este-oeste está presente?

SEC503.3: Detección y respuesta a amenazas basadas en firmas

La tercera sección del curso se basa en las dos primeras al analizar los protocolos de la capa de aplicación. Con este conocimiento, aprenderá a detectar amenazas en la nube, los puntos finales, las redes híbridas y las infraestructuras tradicionales. Los estudiantes también aprenderán sobre la poderosa herramienta de creación de paquetes basada en Python Scapy, que les permite manipular, crear, leer y escribir paquetes. Puede usar Scapy para crear paquetes para probar una herramienta de monitoreo o la capacidad de detección de un firewall. En particular, esto es importante cuando se agrega una vulnerabilidad recientemente anunciada a una regla de monitoreo de red creada por un usuario.

Scapy

  • Creación y análisis de paquetes con Scapy
  • Escritura de paquetes en la red o en un archivo Pcap
  • Lectura de paquetes desde la red o desde un archivo Pcap
  • Usos prácticos de Scapy para el análisis de redes y los defensores de la red

Wireshark avanzado

  • Exportación de objetos web y otros objetos compatibles
  • Extracción de contenido de aplicaciones arbitrarias
  • Investigación de un incidente con Wireshark
  • Uso práctico de Wireshark para analizar la actividad del protocolo SMB
  • Tshark

Introducción a Snort/Suricata

  • Configuración de las herramientas y registro básico
  • Escritura de reglas simples
  • Uso de opciones comunes

Snort/Suricata eficaz

  • Contenido más avanzado sobre cómo escribir reglas verdaderamente eficientes para redes muy grandes
  • Comprensión de cómo escribir reglas flexibles que no se puedan eludir o evadir fácilmente
  • Enfoque de "Elige tu propia aventura" de Snort/Suricata para todas las actividades prácticas
  • Examen progresivo de un exploit en evolución, mejorando de forma incremental una regla para detectar todas las formas del ataque
  • Aplicación de Protocolos de capa de aplicación de Snort/Suricata

DNS

  • Arquitectura y función de DNS
  • DNSSEC
  • Avances modernos en DNS, como EDNS (DNS extendido)
  • DNS malicioso, incluido el envenenamiento de caché
  • Creación de reglas para identificar actividades de amenazas de DNS

Protocolos de Microsoft

  • SMB/CIFS
  • Desafíos de detección
  • Aplicación práctica de Wireshark

HTTP moderno

  • Formato de protocolo
  • Por qué y cómo evoluciona este protocolo
  • Desafíos de detección
  • Cambios con HTTP2 y HTTP3

Cómo investigar un protocolo

  • Uso de QUIC como estudio de caso
  • Comparación de GQUIC vs. IETF QUIC

Aplicación en el mundo real: identificación de tráfico de interés

  • Búsqueda de datos de aplicaciones anómalos dentro de grandes repositorios de paquetes
  • Extracción de registros relevantes
  • Investigación y análisis de aplicaciones

SEC503.4: Construcción de sistemas de detección de amenazas de día cero

La sección 4 examina en profundidad los sistemas de detección de intrusiones modernos y futuros basados en el conocimiento adquirido de la Las tres primeras secciones. Al combinar todo lo que los estudiantes han aprendido hasta ahora, ahora pueden diseñar capacidades de detección de amenazas que son muy superiores a Snort/FirePower/Suricata y a los firewalls de próxima generación a través de la detección avanzada del comportamiento con Zeek (o Corelight).

Arquitectura de red

  • Instrumentación de la red para la recopilación de tráfico
  • Estrategias de implementación de detección de amenazas y monitoreo de red
  • Hardware para capturar tráfico

Introducción al monitoreo de red a escala

  • La función de las herramientas de monitoreo de red
  • El rol del analista en la detección
  • Proceso de flujo de análisis

Zeek

  • Introducción a Zeek
  • Modos operativos de Zeek
  • Registros de salida de Zeek y cómo usarlos
  • Análisis práctico de amenazas y modelado de amenazas
  • Scripts de Zeek
  • Uso de Zeek para monitorear y correlacionar comportamientos relacionados

Teoría de evasión de IDS/IPS

  • Teoría e implicaciones de las evasiones en diferentes capas de protocolo
  • Muestreo de evasiones
  • Necesidad de detección basada en objetivos
  • Evasiones de monitoreo de día cero

SEC503.5: Detección de amenazas a gran escala, análisis forense y análisis

El énfasis en esta sección está en ejercicios prácticos en lugar de instrucción formal. En esta sección se cubren tres áreas principales, comenzando con el análisis y la recopilación a gran escala basados en datos mediante NetFlow e IPFIX. Con los conocimientos básicos sobre el protocolo adquiridos en la primera sección del curso, NetFlow se puede utilizar para realizar búsquedas de amenazas en la nube y en infraestructuras tradicionales. Una vez cubiertos los conceptos básicos, los estudiantes pasarán a un análisis y una detección de amenazas más avanzados mediante el uso y la creación de consultas NetFlow personalizadas. Una segunda área presenta el análisis de tráfico, continuando con el tema del análisis a gran escala. Se presentan diversas herramientas y técnicas para la búsqueda de amenazas de día cero, después de lo cual los estudiantes tienen la oportunidad de ponerlas en práctica. El curso también cubrirá aplicaciones de vanguardia de inteligencia artificial y aprendizaje automático para detectar anomalías. El área final de esta sección involucra la investigación forense de redes y la reconstrucción de incidentes. Cada estudiante trabajará en tres incidentes prácticos detallados utilizando las herramientas y técnicas que ha aprendido a lo largo del curso.

Uso de registros de flujo de red

  • Análisis de metadatos de NetFlow e IPFIX
  • Uso de SiLK para encontrar eventos de interés
  • Identificación de movimiento lateral a través de datos de NetFlow
  • Creación de consultas NetFlow personalizadas

Búsqueda y visualización de amenazas

  • Diversos enfoques para realizar la búsqueda de amenazas de red a escala empresarial en redes
  • Ejercicios que involucran enfoques para visualizar comportamientos de red para identificar anomalías
  • Aplicaciones de la ciencia de datos para optimizar las operaciones de seguridad y realizar la búsqueda de amenazas
  • Experimentación con un sistema basado en IA para identificar anomalías del protocolo de red en una red defendida

Introducción al análisis forense de redes

  • Teoría del análisis forense de redes
  • Fases de explotación
  • Análisis basado en datos versus análisis basado en alertas
  • Visualización basada en hipótesis

SEC503.6: Proyecto final de monitoreo avanzado de redes y detección de amenazas

Este curso culmina con un proyecto final práctico basado en servidor de monitoreo de redes y detección de amenazas que es desafiante y agradable. En este curso, los estudiantes compiten individualmente o en equipos para responder varias preguntas utilizando las herramientas y teorías que aprenden. Basado en seis secciones de datos del mundo real, el desafío consiste en investigar un incidente urgente. Durante este evento de "acompañamiento", los estudiantes responden preguntas basadas en el mismo análisis de datos realizado por un equipo de analistas profesionales.

El resultado final

Al obtener la certificación de analista de intrusiones de GIAC, los profesionales demuestran su conocimiento sobre monitoreo de redes y host, análisis de tráfico y detección de intrusiones. Con la certificación GCIA de GIAC, puede configurar y monitorear sistemas de detección de intrusiones y leer, interpretar y analizar el tráfico de red y los archivos de registro.

La certificación GCIA ya está disponible. Si está buscando un centro de exámenes proxy, ¡ha llegado al lugar correcto! El equipo de CBT Proxy está aquí para ayudarlo a aprobar su examen en su primer intento. Haga clic en el botón de chat a continuación para hablar con uno de nuestros consultores sobre el examen.

Lea nuestros últimos artículos

Ver todo
PMP Online Proctored Exam The Complete Guide.png
Metodología PRINCE2: una guía completa | CBTProxy
Conozca la metodología de gestión de proyectos PRINCE2 y sus beneficios para su empresa. Obtenga una descripción general completa de los principios, procesos y temas de PRINCE2 en esta guía completa de CBTProxy.
2017-01-01
exam-preparation-tips-and-tricks-for-prince2
Preparación para el examen PRINCE2: consejos y trucos | CBTProxy
Prepárese para aprobar el examen PRINCE2 con estos útiles consejos y trucos para la preparación del examen. CBTProxy comparte consejos de expertos sobre cómo estudiar, qué recursos utilizar y cómo afrontar el examen para aumentar sus posibilidades de éxito.
2017-01-08
CBAP Certification_ Benefit, Salary, Eligibility.png
Certificación PRINCE2: Beneficios y ventajas | CBTProxy
Descubra los beneficios de obtener la certificación PRINCE2 para su carrera y su negocio. CBTProxy explica las ventajas de la certificación PRINCE2, incluidas las habilidades de gestión de proyectos mejoradas, mayores oportunidades laborales y mejores resultados de proyectos.
2017-01-15
Somos una solución integral para todas sus necesidades y ofrecemos ofertas flexibles y personalizadas para todas las personas en función de sus calificaciones educativas y la certificación que quieran obtener.
Certifications
AWS SAA - C03PMI PMPCISCO CCNAcompTIA Security+ISACA CISMWGU Online Degree
Comunidad
Nuestras CertificacionesBono de examen descontinuadoPreguntas frecuentespolítica de privacidadTérminos y condicionesReembolso y cancelación
Información de contacto
+1 (415) 830-6004info@cbtproxy.com
Redes sociales

Copyright © 2024 - Todos los derechos reservados.

Chatea con nosotros