Pase cualquier examen en línea ahora y pague después de aprobar el examen. Contacta ahora
Habla con nosotros:
whatsapp
telegram
Certificación GCIA

Lo que aprenderá con el programa de certificación GCIA: una guía completa

Apr 11, 202313 mins leerAmit Masih
Lo que aprenderá con el programa de certificación GCIA: una guía completa

Si está interesado en una carrera en seguridad de la información, el programa de certificación GIAC GCIA será su curso más importante. El curso de certificación GCIA se considera el curso más desafiante pero también el más gratificante.

No hay mejor curso a seguir si desea aprender a realizar una búsqueda de amenazas efectiva para detectar actividades de día cero en su red antes de que se hagan públicas. Las personas que desean comprender las alertas de monitoreo de red generadas por una herramienta lista para usar no deben obtener la certificación GCIA.

Sin embargo, las certificaciones GCIA son para aquellos que desean tener una visión profunda de lo que está sucediendo en sus redes hoy y sospechan problemas graves que sus herramientas no están informando en este momento.

¿Qué es la certificación GIAC Certified Intrusion Analyst (GCIA)?

La certificación GIAC Certified Intrusion Analyst (GCIA) es una credencial independiente del proveedor diseñada para validar el conocimiento y las habilidades del profesional en detección y análisis de intrusiones. Con la certificación GIAC GCIA, podrá configurar y monitorear los sistemas de detección de intrusos, leer, interpretar y analizar el tráfico de la red y los archivos de registro, y comprender lo que sucede en la red.

Para lograr la certificación GIAC GCIA, se le pedirá que apruebe un examen supervisado que cubra varios objetivos del examen, como análisis de tráfico de red, creación de firmas, análisis de registros y manejo de incidentes. Hay 106 preguntas de opción múltiple en el examen GIAC GCIA. Se necesitan cuatro horas para completar el examen de certificación GCIA. Para aprobar el examen GCIA, necesita una puntuación de al menos 67%.

Estas son las áreas cubiertas en el examen GCIA:

  • Fundamentos de análisis de tráfico y protocolos de aplicación
  • IDS de código abierto: Snort y Zeek
  • Análisis forense y monitoreo del tráfico de red

¿Quién puede tomar la certificación GCIA?

  • Profesionales responsables de la detección de intrusos
  • Analistas de sistemas
  • Analistas de seguridad
  • Ingenieros de redes
  • Administradores de red
  • Gerentes de seguridad prácticos

Aprenderás las siguientes habilidades

  • Analizar el tráfico de su sitio para evitar convertirse en un titular más
  • Cómo identificar amenazas de día cero que ninguna herramienta de monitoreo de red ha identificado
  • Monitoreo de red: cómo colocarlo, personalizarlo y ajustarlo
  • Cómo clasificar alertas de red, especialmente durante un incidente
  • Identificar qué sucedió, cuándo sucedió y quién lo hizo mediante la reconstrucción de eventos.
  • Experiencia práctica con análisis forense, detección y análisis de redes
  • TCP/IP y protocolos de aplicación comunes para obtener información sobre el tráfico de su red, lo que le permite distinguir el tráfico normal del anormal
  • Monitorización de redes basadas en firma: ventajas y desventajas
  • Monitoreo de redes de comportamiento para la correlación automatizada en toda la empresa y cómo usarlas de manera efectiva
  • Realización de modelos de amenazas efectivos para actividades de red.
  • Traducir el modelado de amenazas en capacidades de detección de amenazas de día cero
  • Análisis de datos de flujo en redes tradicionales, híbridas y en la nube para mejorar la detección

Usted será capaz de

  • Configurar y ejecutar Snort y Suricata
  • Cree y escriba reglas efectivas y eficientes de Snort, Suricata y FirePOWER.
  • Configure y ejecute Zeek de código abierto para proporcionar un marco de análisis de tráfico híbrido.
  • Cree secuencias de comandos de correlación de búsqueda de amenazas automatizadas en Zeek.
  • Comprender las capas de componentes de TCP/IP para identificar el tráfico normal y anormal para la identificación de amenazas.
  • Utilice herramientas de análisis de tráfico para identificar signos de compromiso o amenaza activa.
  • Realice análisis forense de red para investigar el tráfico para identificar TTP y encontrar amenazas activas.
  • Separar archivos y otros tipos de contenido del tráfico de red para reconstruir eventos.
  • Cree filtros BPF para examinar un rasgo de tráfico particular a escala de forma selectiva.
  • Paquetes artesanales con Scapy.
  • Use las herramientas NetFlow/IPFIX para encontrar anomalías en el comportamiento de la red y amenazas potenciales.
  • Use su conocimiento de la arquitectura y el hardware de la red para personalizar la ubicación de los sensores de monitoreo de la red y rastrear el tráfico del cable.

Plan de estudios del examen de certificación GCIA

SEC503.1: Monitoreo y análisis de red: Parte I

Esta sección brinda una cobertura profunda de la pila de protocolos TCP/IP, lo que lo prepara para monitorear y detectar mejor las amenazas en su nube o infraestructura tradicional. El primer paso se llama el curso "Paquetes como segundo idioma". Para identificar amenazas e identificar TTP, los estudiantes se sumergen de inmediato en el análisis de paquetes de bajo nivel para recopilar los paquetes utilizados en ataques de día cero y otros ataques. A lo largo de esta sección, los estudiantes aprenderán los fundamentos de la comunicación TCP/IP, la teoría de bits, bytes, binario y hexadecimal, y el significado y el comportamiento esperado de cada campo. Los estudiantes aprenden a usar herramientas como Wireshark y Tcpdump para analizar el tráfico.

Conceptos de TCP/IP

  • ¿Por qué es necesario comprender los encabezados y los datos de los paquetes?
  • El modelo de comunicaciones TCP/IP
  • Encapsulación/desencapsulación de datos
  • Bits, bytes, binario y hexadecimal

Introducción a Wireshark

  • Navegando por Wireshark
  • Perfiles de Wireshark
  • Examen de las opciones de estadísticas de Wireshark
  • Reensamblaje de flujo
  • Encontrar contenido en paquetes

Capa de enlace/acceso a la red: Capa 2

  • Introducción a la capa de enlace
  • Protocolo de resolución de direccionamiento
  • Ataques y defensas de capa 2

Capa IP: Capa 3

  • IPv4
    • Examen de campos en teoría y práctica.
    • Checksums y su importancia, especialmente para monitoreo y evasión de redes.
    • Fragmentación: campos de encabezado IP involucrados en la fragmentación, la composición de los fragmentos, ataques de fragmentación modernos

Procesamiento de línea de comandos UNIX

  • Procesamiento de paquetes de manera eficiente
  • Analizar y agregar datos para responder preguntas e investigar una red
  • Uso de expresiones regulares para un análisis más rápido

SEC503.2: Supervisión y análisis de red: Parte II

Esta sección concluye la parte del curso "Paquetes como segundo idioma" y prepara el escenario para una discusión mucho más profunda por venir. Los estudiantes obtendrán una comprensión profunda de los protocolos de la capa de transporte primaria utilizados en el modelo TCP/IP, así como también cómo las tendencias modernas están afectando su uso. En esta lección, aprenderá a analizar su propio tráfico utilizando Wireshark y TCPdump. Al utilizar los filtros de visualización de Wireshark y los filtros de paquetes de Berkeley, la atención se centra en filtrar datos a gran escala hasta el tráfico de interés para detectar amenazas en una infraestructura tradicional y basada en la nube. Esta sección también cubre las innovaciones modernas que tienen implicaciones muy serias para el monitoreo de la red moderna, incluido el significado y la función de cada campo de encabezado.

Filtros de visualización de Wireshark

  • Examen de algunas de las muchas formas en que Wireshark facilita la creación de filtros de visualización
  • Composición de los filtros de visualización.

Escribir filtros BPF

  • La ubicuidad de BPF y la utilidad de los filtros.
  • Formato de filtros BPF
  • Uso de enmascaramiento de bits

TCP

  • Examen de campos en teoría y práctica.
  • Disección de paquetes
  • Sumas de comprobación
  • Estímulo y respuesta TCP normales y anormales
  • Importancia del reensamblaje de TCP para IDS/IPS

UDP

  • Examen de campos en teoría y práctica.
  • Estímulo y respuesta UDP

ICMP

  • Examen de campos en teoría y práctica.
  • Cuándo no se deben enviar mensajes ICMP
  • Uso en cartografía y reconocimiento.
  • ICMP normales
  • ICMP malicioso

IP6

  • Fundamentos
  • Mejoras sobre IP6
  • Protocolos de multidifusión y cómo IP6 los aprovecha
  • Amenazas IP6

Aplicación del mundo real: Investigación de una red

  • ¿Quiénes son los que más hablan?
  • ¿A qué se conecta la gente?
  • ¿Qué servicios se están ejecutando en nuestra red?
  • ¿Qué tipo de tráfico este-oeste está presente?

SEC503.3: Detección y respuesta de amenazas basadas en firmas

La tercera sección del curso se basa en las dos primeras y analiza los protocolos de la capa de aplicación. Con este conocimiento, aprenderá a detectar amenazas en la nube, puntos finales, redes híbridas e infraestructuras tradicionales. Los estudiantes también aprenderán sobre la poderosa herramienta de elaboración de paquetes basada en Python, Scapy, que les permite manipular, crear, leer y escribir paquetes. Puede usar Scapy para crear paquetes para probar una herramienta de monitoreo o la capacidad de detección del firewall. En particular, esto es importante cuando se agrega una vulnerabilidad recientemente anunciada a una regla de monitoreo de red creada por un usuario.

espantoso

  • Elaboración y análisis de paquetes con Scapy
  • Escribir paquetes en la red o en un archivo Pcap
  • Lectura de paquetes de la red o de un archivo Pcap
  • Usos prácticos de Scapy para análisis de redes y defensores de redes.

Wireshark avanzado

  • Exportación web y otros objetos compatibles
  • Extracción de contenido de aplicación arbitraria
  • Investigación Wireshark de un incidente
  • Wireshark práctico utilizado para analizar la actividad del protocolo SMB
  • Tiburón

Introducción a Snort/Suricata

  • Configuración de las herramientas y registro básico
  • Escribir reglas simples.
  • Uso de opciones comunes

Snort efectivo/Suricata

  • Contenido más avanzado sobre cómo escribir reglas verdaderamente eficientes para redes muy grandes
  • Comprender cómo redactar reglas flexibles que no se pasen por alto ni se evadan fácilmente
  • Enfoque Snort/Suricata "Elige tu propia aventura" para todas las actividades prácticas
  • Examen progresivo de un exploit en evolución, mejorando gradualmente una regla para detectar todas las formas del ataque
  • Aplicación de Snort/Suricata a protocolos de capa de aplicación

DNS

  • Arquitectura y función DNS -DNSSEC
  • Avances modernos en DNS, como EDNS (DNS extendido)
  • DNS malicioso, incluido el envenenamiento de caché
  • Creación de reglas para identificar actividades de amenazas de DNS

Protocolos de Microsoft

  • SMB/CIFS
  • Desafíos de detección
  • Aplicación práctica Wireshark

HTTP moderno

  • Formato de protocolo
  • Por qué y cómo está evolucionando este protocolo
  • Desafíos de detección
  • Cambios con HTTP2 y HTTP3

Cómo investigar un protocolo

  • Uso de QUIC como caso de estudio
  • Comparación de GQUIC frente a IETF QUIC

Aplicación del mundo real: identificación del tráfico de interés

  • Encontrar datos de aplicaciones anómalos dentro de repositorios de paquetes grandes
  • Extracción de registros relevantes
  • Investigación y análisis de aplicaciones.

SEC503.4: Creación de sistemas de detección de amenazas de día cero

La sección 4 examina en profundidad los sistemas de detección de intrusos modernos y futuros en función del conocimiento obtenido en las tres primeras secciones. Al combinar todo lo que los estudiantes han aprendido hasta ahora, los estudiantes ahora pueden diseñar capacidades de detección de amenazas que son muy superiores a Snort/FirePower/Suricata y los firewalls de próxima generación a través de la detección de comportamiento avanzada con Zeek (o Corelight).

Red de arquitectura

  • Instrumentación de la red para la captación de tráfico
  • Estrategias de implementación de monitoreo de red y detección de amenazas.
  • Hardware para captar tráfico

Introducción al monitoreo de red a escala

  • La función de las herramientas de monitoreo de red.
  • El papel del analista en la detección.
  • Proceso de flujo de análisis

Zeek

  • Introducción a Zeek
  • Modos operativos Zeek
  • Registros de salida de Zeek y cómo usarlos
  • Análisis práctico de amenazas y modelado de amenazas.
  • Secuencias de comandos Zeek
  • Usar Zeek para monitorear y correlacionar comportamientos relacionados

Teoría de la evasión IDS/IPS

  • Teoría e implicaciones de las evasiones en diferentes capas de protocolo
  • Muestreo de evasiones
  • Necesidad de detección basada en objetivos
  • Evasiones de monitoreo de día cero

SEC503.5: Detección de amenazas a gran escala, análisis forense y análisis

El énfasis en esta sección está en los ejercicios prácticos más que en la instrucción formal. En esta sección se cubren tres áreas principales, comenzando con el análisis y la recopilación a gran escala basados en datos mediante NetFlow e IPFIX. Con los antecedentes de protocolo adquiridos en la primera sección del curso, NetFlow se puede usar para realizar una búsqueda de amenazas en la nube y en infraestructuras tradicionales. Habiendo cubierto los fundamentos, los estudiantes pasarán a un análisis y detección de amenazas más avanzados utilizando y creando consultas personalizadas de NetFlow. Una segunda área introduce análisis de tráfico, continuando con el tema del análisis a gran escala. Se presenta una variedad de herramientas y técnicas para la caza de amenazas de día cero, después de lo cual los estudiantes tienen la oportunidad de ponerlas en práctica. El curso también cubrirá aplicaciones de vanguardia de inteligencia artificial y aprendizaje automático para detectar anomalías. El área final de esta sección involucra análisis forense de redes e incidentes reconstruidos. Cada estudiante trabajará en tres incidentes prácticos detallados utilizando las herramientas y técnicas que han aprendido a lo largo del curso.

Uso de registros de flujo de red

  • Análisis de metadatos NetFlow e IPFIX
  • Uso de SiLK para encontrar eventos de interés.
  • Identificación de movimiento lateral a través de datos de NetFlow
  • Creación de consultas personalizadas de NetFlow

Búsqueda y visualización de amenazas

  • Diversos enfoques para realizar la búsqueda de amenazas de red a escala empresarial en redes
  • Ejercicios que involucran enfoques para visualizar comportamientos de red para identificar anomalías
  • Aplicaciones de la ciencia de datos para agilizar las operaciones de seguridad y realizar la caza de amenazas.
  • Experimentar con un sistema basado en IA para identificar anomalías en el protocolo de red en una red defendida

Introducción al análisis forense de redes

  • Teoría del análisis forense de redes
  • Fases de explotación
  • Análisis basado en datos versus análisis basado en alertas
  • Visualización basada en hipótesis

SEC503.6: Monitoreo de red avanzado y detección de amenazas Capstone

Este curso culmina con un punto culminante práctico de Monitoreo de red basado en servidor y Detección de amenazas que es a la vez desafiante y agradable. En este curso, los estudiantes compiten individualmente o en equipos para responder varias preguntas usando las herramientas y teorías que aprenden. Basado en seis secciones de datos del mundo real, el desafío consiste en investigar un incidente urgente. Durante este evento de "acompañamiento", los estudiantes responden preguntas basadas en el mismo análisis de datos realizado por un equipo de analistas profesionales.

La línea de fondo

Al obtener la certificación GIAC Intrusion Analyst, los profesionales demuestran sus conocimientos sobre monitoreo de red y host, análisis de tráfico y detección de intrusos. Con la certificación GIAC GCIA, puede configurar y monitorear los sistemas de detección de intrusos y leer, interpretar y analizar el tráfico de red y los archivos de registro.

La certificación GCIA ya está disponible. Si está buscando un centro de examen de poder, ¡ha venido al lugar correcto! El equipo de CBT Proxy está aquí para ayudarlo a aprobar su examen en su primer intento. Haga clic en el botón de chat a continuación para hablar con uno de nuestros consultores sobre el examen.

Sigue leyendo
La Certificación GIAC GCIA: Una Guía Profesional Detallada
La Certificación GIAC GCIA: Una Guía Profesional Detallada
La ciberseguridad ha recorrido un largo camino, y por alguna buena razón, ahora es una de las carreras profesionales más solicitadas del mundo.
Examen de certificación GCIA: todo lo que necesita saber
Examen de certificación GCIA: todo lo que necesita saber
El examen de certificación GIAC GCIA está diseñado para evaluar el conocimiento y las habilidades de un profesional en seguridad de redes y análisis de intrusiones.
Logo
Somos una solución integral para todas sus necesidades y ofrecemos ofertas flexibles y personalizadas a todas las personas según sus calificaciones educativas y la certificación que desean obtener.
Certificaciones
AWS SAA-C03PMI PMPCISCO CCNAcompTIA Security+ISACA CISMWGU Online Degree
Comunidad
Nuestras CertificacionesDiscounted Exam VoucherContáctenosPolítica de privacidadTérminos y condicionesReembolso y Cancelación
Contacto
+1 (415) 830-6004
Derechos de autor © 2022