Si vous êtes intéressé par une carrière en sécurité de l'information, le programme de certification GIAC GCIA sera votre cours le plus important. Le cours de certification GCIA est considéré comme le cours le plus difficile mais aussi le plus gratifiant.
Il n'y a pas de meilleur cours à suivre si vous voulez apprendre à effectuer une chasse aux menaces efficace pour détecter les activités zero-day sur votre réseau avant qu'elles ne deviennent publiques. Les personnes qui souhaitent comprendre les alertes de surveillance du réseau générées par un outil prêt à l'emploi ne doivent pas passer la certification GCIA.
Cependant, les certifications GCIA sont destinées à ceux qui souhaitent avoir un aperçu approfondi de ce qui se passe dans leurs réseaux aujourd'hui et soupçonnent des problèmes graves que leurs outils ne signalent pas pour le moment.
Qu'est-ce que la certification GIAC Certified Intrusion Analyst (GCIA) ?
La certification GIAC Certified Intrusion Analyst (GCIA) est un titre indépendant du fournisseur conçu pour valider les connaissances et les compétences du praticien en matière de détection et d'analyse des intrusions. Avec la certification GIAC GCIA, vous serez en mesure de configurer et de surveiller les systèmes de détection d'intrusion, de lire, d'interpréter et d'analyser le trafic réseau et les fichiers journaux, et de comprendre ce qui se passe sur le réseau.
Afin d'obtenir la certification GIAC GCIA, vous devrez réussir un examen surveillé couvrant divers objectifs d'examen, tels que l'analyse du trafic réseau, la création de signatures, l'analyse des journaux et la gestion des incidents. Il y a 106 questions à choix multiples dans l'examen GIAC GCIA. Il faut quatre heures pour terminer l'examen de certification GCIA. Pour réussir l'examen GCIA, vous devez obtenir un score d'au moins 67 %.
Voici les domaines couverts par l'examen GCIA :
- Fondamentaux de l'analyse du trafic et des protocoles applicatifs
- IDS open-source : Snort et Zeek
- Analyse et surveillance du trafic réseau
Qui peut passer la certification GCIA ?
- Praticiens en charge de la détection d'intrusion
- Analystes système
- Analystes de sécurité
- Ingénieurs réseau
- Administrateurs réseau
- Responsables de la sécurité sur le terrain
Vous apprendrez les compétences suivantes
- Analyser le trafic de votre site pour éviter de devenir un autre titre
- Comment identifier les menaces zero-day qu'aucun outil de surveillance réseau n'a identifiées
- Surveillance du réseau : comment la placer, la personnaliser et la régler
- Comment trier les alertes réseau, notamment lors d'un incident
- Identifier ce qui s'est passé, quand cela s'est produit et qui l'a fait en reconstituant les événements
- Expérience pratique de l'investigation, de la détection et de l'analyse du réseau
- TCP/IP et protocoles d'application courants pour avoir un aperçu de votre trafic réseau, vous permettant de distinguer le trafic normal du trafic anormal
- Surveillance des réseaux basés sur la signature : avantages et inconvénients
- Surveillance des réseaux comportementaux pour une corrélation automatisée à l'échelle de l'entreprise et comment les utiliser efficacement
- Effectuer une modélisation efficace des menaces pour les activités du réseau
- Traduire la modélisation des menaces en capacités de détection des menaces zero-day
- Analyse des données de flux dans les réseaux traditionnels, hybrides et cloud pour améliorer la détection
Vous pourrez
- Configurer et exécuter Snort et Suricata
- Créer et écrire des règles Snort, Suricata et FirePOWER efficaces et efficientes.
- Configurez et exécutez Zeek open-source pour fournir un cadre d'analyse de trafic hybride.
- Créez des scripts de corrélation de chasse aux menaces automatisés dans Zeek.
- Comprendre les couches de composants TCP/IP pour identifier le trafic normal et anormal pour l'identification des menaces.
- Utilisez des outils d'analyse du trafic pour identifier les signes d'une compromission ou d'une menace active.
- Effectuez une analyse médico-légale du réseau pour enquêter sur le trafic afin d'identifier les TTP et de trouver les menaces actives.
- Découpez des fichiers et d'autres types de contenu du trafic réseau pour reconstruire des événements.
- Créez des filtres BPF pour examiner de manière sélective un trait de trafic particulier à grande échelle.
- Créez des paquets avec Scapy.
- Utilisez les outils NetFlow/IPFIX pour trouver les anomalies de comportement du réseau et les menaces potentielles.
- Utilisez votre connaissance de l'architecture et du matériel réseau pour personnaliser le placement des capteurs de surveillance du réseau et détecter le trafic hors du fil.
Programme de l'examen de certification GCIA
SEC503.1 : Surveillance et analyse du réseau : Partie I
Cette section fournit une couverture approfondie de la pile de protocoles TCP/IP, vous préparant à mieux surveiller et détecter les menaces dans votre cloud ou votre infrastructure traditionnelle. La première étape s'appelle le cours "Packets as a Second Language". Afin d'identifier les menaces et d'identifier les TTP, les étudiants sont immédiatement plongés dans l'analyse de paquets de bas niveau pour collecter les paquets utilisés dans les attaques zero-day et autres attaques. Tout au long de cette section, les étudiants apprendront les principes fondamentaux de la communication TCP/IP, la théorie des bits, des octets, du binaire et de l'hexadécimal, ainsi que la signification et le comportement attendu de chaque champ. Les étudiants apprennent à utiliser des outils tels que Wireshark et Tcpdump pour analyser le trafic.
Notions de TCP/IP
- Pourquoi est-il nécessaire de comprendre les en-têtes de paquets et les données ?
- Le modèle de communication TCP/IP
- Encapsulation/désencapsulation des données
- Bits, octets, binaire et hexadécimal
Présentation de Wireshark
- Naviguer autour de Wireshark
- Profils Wireshark
- Examen des options de statistiques Wireshark
- Réassemblage de flux
- Recherche de contenu dans les paquets
Accès réseau/Couche de liaison : couche 2
- Introduction à la couche liaison
- Protocole de résolution d'adressage
- Attaques et défenses de couche 2
Couche IP : Couche 3
-IPv4 - Examen des domaines en théorie et en pratique - Les sommes de contrôle et leur importance, en particulier pour la surveillance et l'évasion du réseau - Fragmentation : champs d'en-tête IP impliqués dans la fragmentation, la composition des fragments, les attaques de fragmentation modernes
Traitement de la ligne de commande UNIX
- Traitement efficace des paquets
- Analyser et agréger des données pour répondre aux questions et rechercher un réseau
- Utilisation d'expressions régulières pour une analyse plus rapide
SEC503.2 : Surveillance et analyse du réseau : Partie II
Cette section conclut la partie "Paquets en tant que langue seconde" du cours et prépare le terrain pour la discussion beaucoup plus approfondie à venir. Les étudiants acquerront une compréhension approfondie des principaux protocoles de couche de transport utilisés dans le modèle TCP / IP, ainsi que de la manière dont les tendances modernes affectent leur utilisation. Dans cette leçon, vous apprendrez à analyser votre propre trafic à l'aide de Wireshark et TCPdump. En utilisant les filtres d'affichage Wireshark et les filtres de paquets Berkeley, l'accent est mis sur le filtrage des données à grande échelle jusqu'au trafic d'intérêt afin de détecter les menaces dans une infrastructure traditionnelle et basée sur le cloud. Cette section couvre également les innovations modernes qui ont des implications très sérieuses pour la surveillance du réseau moderne, y compris la signification et la fonction de chaque champ d'en-tête.
Filtres d'affichage Wireshark
- Examen de certaines des nombreuses façons dont Wireshark facilite la création de filtres d'affichage
- Composition des filtres d'affichage
Écriture de filtres BPF
- L'omniprésence des BPF et l'utilité des filtres
- Format des filtres BPF
- Utilisation du masquage de bits
TCP
- Examen des domaines en théorie et en pratique
- Dissection de paquets
- Sommes de contrôle
- Stimulus et réponse TCP normaux et anormaux
- Importance du réassemblage TCP pour IDS/IPS
UDP
- Examen des domaines en théorie et en pratique
- Stimulus et réponse UDP
ICMP
- Examen des domaines en théorie et en pratique
- Lorsque les messages ICMP ne doivent pas être envoyés
- Utilisation en cartographie et reconnaissance
- ICMP normal
- ICMP malveillant
IP6
- Fondamentaux
- Améliorations par rapport à IP6
- Les protocoles de multidiffusion et comment ils sont exploités par IP6
- Menaces IP6
Application dans le monde réel : recherche d'un réseau
- Qui sont les meilleurs orateurs ?
- À quoi les gens se connectent-ils ?
- Quels services fonctionnent sur notre réseau ?
- Quel type de trafic est-ouest est présent ?
SEC503.3 : détection et réponse aux menaces basées sur les signatures
La troisième section du cours s'appuie sur les deux premières en examinant les protocoles de la couche application. Grâce à ces connaissances, vous apprendrez à détecter les menaces dans le cloud, les terminaux, les réseaux hybrides et les infrastructures traditionnelles. Les étudiants découvriront également le puissant outil de création de paquets basé sur Python, Scapy, qui permet aux étudiants de manipuler, créer, lire et écrire des paquets. Vous pouvez utiliser Scapy pour créer des paquets afin de tester un outil de surveillance ou la capacité de détection d'un pare-feu. En particulier, cela est important lorsqu'une vulnérabilité nouvellement annoncée est ajoutée à une règle de surveillance du réseau créée par un utilisateur.
Scapy
- Création et analyse de paquets avec Scapy
- Ecriture de paquets vers le réseau ou un fichier Pcap
- Lecture de paquets depuis le réseau ou depuis un fichier Pcap
- Utilisations pratiques de Scapy pour l'analyse de réseau et les défenseurs de réseau
Wireshark avancé
- Exportation d'objets Web et d'autres objets pris en charge
- Extraction de contenu d'application arbitraire
- Enquête Wireshark sur un incident
- Wireshark pratique utilisé pour analyser l'activité du protocole SMB
- Requin
Introduction à Snort/Suricata
- Configuration des outils et journalisation de base
- Rédiger des règles simples
- Utilisation des options courantes
Renifler/Suricata efficace
- Contenu plus avancé sur l'écriture de règles vraiment efficaces pour les très grands réseaux
- Comprendre comment écrire des règles flexibles qui ne sont pas facilement contournées ou éludées
- Approche Snort/Suricata "Choisissez votre propre aventure" pour toutes les activités pratiques
- Examen progressif d'un exploit évolutif, améliorant progressivement une règle pour détecter toutes les formes d'attaque
- Application de Snort/Suricata aux protocoles de la couche application
DNS
- Architecture et fonction DNS -DNSSEC
- Avancées modernes du DNS, telles que EDNS (DNS étendu)
- DNS malveillant, y compris l'empoisonnement du cache
- Création de règles pour identifier les activités de menace DNS
Protocoles Microsoft
- PME/CIFS
- Défis de détection
- Application Wireshark pratique
HTTP moderne
-Format du protocole
- Pourquoi et comment ce protocole évolue
- Défis de détection
- Changements avec HTTP2 et HTTP3
Comment rechercher un protocole
- Utilisation de QUIC comme étude de cas
- Comparaison entre GQUIC et IETF QUIC
Application dans le monde réel : identification du trafic d'intérêt
- Recherche de données d'application anormales dans de grands référentiels de paquets
- Extraction des enregistrements pertinents
- Recherche et analyse d'applications
SEC503.4 : Création de systèmes de détection des menaces Zero-Day
La section 4 examine en profondeur les systèmes de détection d'intrusion modernes et futurs sur la base des connaissances acquises dans les trois premières sections. En combinant tout ce que les étudiants ont appris jusqu'à présent, les étudiants peuvent désormais concevoir des capacités de détection des menaces bien supérieures à Snort/FirePower/Suricata et aux pare-feu de nouvelle génération grâce à la détection comportementale avancée avec Zeek (ou Corelight).
Architecture de réseau
- Instrumenter le réseau pour la collecte du trafic
- Stratégies de déploiement de surveillance du réseau et de détection des menaces
- Matériel pour capter le trafic
Introduction à la surveillance du réseau à grande échelle
- La fonction d'outils de surveillance du réseau
- Le rôle de l'analyste dans la détection
- Processus de flux d'analyse
Zeek
- Introduction à Zeek
- Modes opérationnels Zeek
- Journaux de sortie Zeek et comment les utiliser
- Analyse pratique des menaces et modélisation des menaces
- Script Zeek
- Utilisation de Zeek pour surveiller et corréler les comportements associés
Théorie de l'évasion IDS/IPS
- Théorie et implications des évasions à différentes couches de protocole
- Échantillonnage des évasions
- Nécessité d'une détection basée sur la cible
- Les évasions de surveillance du jour zéro
SEC503.5 : détection des menaces à grande échelle, criminalistique et analyse
Dans cette section, l'accent est mis sur les exercices pratiques plutôt que sur l'instruction formelle. Trois domaines principaux sont couverts dans cette section, à commencer par l'analyse et la collecte à grande échelle basées sur les données à l'aide de NetFlow et IPFIX. Avec l'expérience de protocole acquise dans la première section du cours, NetFlow peut être utilisé pour effectuer une chasse aux menaces dans le cloud et sur les infrastructures traditionnelles. Après avoir couvert les principes fondamentaux, les étudiants passeront à une analyse plus avancée et à la détection des menaces en utilisant et en créant des requêtes NetFlow personnalisées. Un deuxième domaine présente l'analyse du trafic, poursuivant le thème de l'analyse à grande échelle. Une variété d'outils et de techniques de chasse aux menaces zero-day sont présentés, après quoi les étudiants ont la possibilité de les mettre en pratique. Le cours couvrira également les applications de pointe de l'intelligence artificielle et de l'apprentissage automatique pour détecter les anomalies. Le dernier domaine de cette section concerne l'investigation du réseau et les incidents reconstitués. Chaque étudiant travaillera sur trois incidents pratiques détaillés en utilisant les outils et les techniques qu'ils ont appris tout au long du cours.
Utilisation des enregistrements de flux réseau
- Analyse des métadonnées NetFlow et IPFIX
- Utilisation de SiLK pour trouver des événements d'intérêt
- Identification des mouvements latéraux via les données NetFlow
- Création de requêtes NetFlow personnalisées
Chasse aux menaces et visualisation
- Diverses approches pour effectuer la chasse aux menaces réseau à l'échelle de l'entreprise dans les réseaux
- Exercices impliquant des approches de visualisation des comportements du réseau pour identifier les anomalies
- Applications de la science des données pour rationaliser les opérations de sécurité et effectuer la chasse aux menaces
- Expérimenter un système basé sur l'IA pour identifier les anomalies de protocole réseau sur un réseau défendu
Introduction à l'analyse médico-légale de réseau
- Théorie de l'analyse médico-légale des réseaux
- Phases d'exploitation
- Analyse basée sur les données versus analyse basée sur les alertes
- Visualisation basée sur des hypothèses
Sec503.6 : Capstone de surveillance avancée du réseau et de détection des menaces
Ce cours se termine par une formation pratique sur la surveillance du réseau et la détection des menaces basée sur un serveur, à la fois stimulante et agréable. Dans ce cours, les étudiants s'affrontent individuellement ou en équipe pour répondre à diverses questions en utilisant les outils et les théories qu'ils apprennent. Basé sur six sections de données du monde réel, le défi consiste à enquêter sur un incident urgent. Au cours de cet événement « ride-along », les étudiants répondent à des questions basées sur la même analyse de données menée par une équipe d'analystes professionnels.
L'essentiel
En obtenant la certification GIAC Intrusion Analyst, les praticiens démontrent leurs connaissances en matière de surveillance du réseau et de l'hôte, de l'analyse du trafic et de la détection des intrusions. Avec la certification GIAC GCIA, vous pouvez configurer et surveiller les systèmes de détection d'intrusion et lire, interpréter et analyser le trafic réseau et les fichiers journaux.
La certification GCIA est maintenant disponible. Si vous cherchez un centre d'examen par procuration, vous êtes au bon endroit ! L'équipe CBT Proxy est là pour vous aider à réussir votre examen du premier coup. Veuillez cliquer sur le bouton de chat ci-dessous pour parler avec l'un de nos consultants au sujet de l'examen.