GCIA 認定プログラムで学べること: 総合ガイド

情報セキュリティのキャリアに興味がある場合、GIAC GCIA 認定プログラムは最も重要なコースになります。GCIA 認定コースは、最も難しいコースであると同時に、最もやりがいのあるコースであると考えられています。

効果的な脅威ハンティングを実行して、ネットワーク上のゼロデイ活動が公開される前に検出する方法を学びたい場合、これより優れたコースはありません。すぐに使用できるツールによって生成されるネットワーク監視アラートを理解したい人は、GCIA 認定を受けるべきではありません。

ただし、GCIA 認定は、現在ネットワークで何が起こっているかを深く理解し、ツールが現在報告していない深刻な問題を疑う人向けです。

GIAC 認定侵入アナリスト (GCIA) 認定とは何ですか?

GIAC 認定侵入アナリスト (GCIA) 認定は、侵入検出と分析に関する実務者の知識とスキルを検証するために設計された、ベンダー中立の資格です。 GIAC GCIA 認定資格を取得すると、侵入検知システムの設定と監視、ネットワーク トラフィックとログ ファイルの読み取り、解釈、分析、ネットワークで何が起こっているかの把握が可能になります。

GIAC GCIA 認定資格を取得するには、ネットワーク トラフィック分析、シグネチャ作成、ログ分析、インシデント処理など、さまざまな試験目標を網羅する監督付き試験に合格する必要があります。 GIAC GCIA 試験には、106 の多肢選択式問題があります。 GCIA 認定試験の所要時間は 4 時間です。 GCIA 試験に合格するには、少なくとも 67% のスコアが必要です。

GCIA 試験でカバーされる分野は次のとおりです。

• トラフィック分析とアプリケーション プロトコルの基礎
• オープンソース IDS: Snort と Zeek
• ネットワーク トラフィックのフォレンジックと監視

GCIA 認定資格を取得できるのは誰ですか?

• 侵入検知を担当する実務者
• システムアナリスト
• セキュリティアナリスト
• ネットワークエンジニア
• ネットワーク管理者
• 実践的なセキュリティマネージャー

次のスキルを習得します

• サイトのトラフィックを分析して、新たな見出しにならないようにする
• ネットワーク監視ツールでは特定できないゼロデイ脅威を特定する方法
• ネットワーク監視: 配置、カスタマイズ、調整の方法
• 特にインシデント発生時にネットワークアラートをトリアージする方法
• イベントを再構築して、何がいつ発生し、誰が実行したかを特定する
• ネットワークフォレンジック、検出、分析の実践的な経験
• TCP/IP および一般的なアプリケーションプロトコルを使用して、ネットワークトラフィックの洞察を得て、正常なトラフィックと異常なトラフィックを区別できるようにする
• シグネチャベースのネットワークの監視: 利点と欠点
• 企業全体の自動相関関係の監視と、それらを効果的に使用する方法
• ネットワークアクティビティの効果的な脅威モデリングの実行
• 脅威モデリングをゼロデイ脅威検出機能に変換する
• 従来型、ハイブリッド、およびクラウド ネットワークを使用して検出を強化する

次のことができるようになります

• Snort と Suricata を設定して実行する
• 効果的で効率的な Snort、Suricata、および FirePOWER ルールを作成して記述する。
• オープンソースの Zeek を設定して実行し、ハイブリッド トラフィック分析フレームワークを提供する。
• Zeek で自動化された脅威ハンティング相関スクリプトを作成する。
• TCP/IP コンポーネント レイヤーを理解して、脅威を識別するための正常トラフィックと異常トラフィックを識別する。
• トラフィック分析ツールを使用して、侵害またはアクティブな脅威の兆候を識別する。
• ネットワーク フォレンジックを実行してトラフィックを調査し、TTP を識別してアクティブな脅威を見つける。
• ネットワーク トラフィックからファイルやその他の種類のコンテンツを切り出してイベントを再構築する。
• BPF フィルターを作成して、特定のトラフィック特性を大規模に選択的に調べる。
• Scapy を使用してパケットを作成する。
• NetFlow/IPFIX ツールを使用して、ネットワーク動作の異常と潜在的な脅威を見つける。
• ネットワーク アーキテクチャとハードウェアに関する知識を使用して、ネットワーク監視センサーの配置をカスタマイズし、ネットワークからトラフィックをスニッフィングする。

GCIA 認定試験シラバス

SEC503.1: ネットワーク監視と分析: パート I

このセクションでは、TCP/IP プロトコル スタックについて詳細に説明し、クラウドまたは従来のインフラストラクチャにおける脅威をより適切に監視および検出できるようにします。最初のステップは、「パケットを第二言語として」コースと呼ばれます。脅威を特定し、TTP を識別するために、学生はすぐに低レベルのパケット分析に没頭し、ゼロデイ攻撃やその他の攻撃で使用されるパケットを収集します。このセクション全体を通して、学生は TCP/IP 通信の基礎、ビット、バイト、バイナリ、16 進数の理論、および各フィールドの意味と予想される動作を学習します。学生は、トラフィックを分析するために Wireshark や Tcpdump などのツールを使用する方法を学びます。

TCP/IP の概念

• パケット ヘッダーとデータを理解する必要があるのはなぜですか?
• TCP/IP 通信モデル
• データのカプセル化/カプセル化解除
• ビット、バイト、バイナリ、および 16 進数

Wireshark の概要

• Wireshark の操作方法
• Wireshark プロファイル
• Wireshark 統計オプションの調査
• ストリームの再構築
• パケット内のコンテンツの検索

ネットワーク アクセス/リンク層: レイヤー 2

• リンク層の概要
• アドレス解決プロトコル
• レイヤー 2 の攻撃と防御

IP 層: レイヤー 3

• IPv4
• 理論と実践におけるフィールドの調査
• チェックサムとその重要性 (特にネットワークの監視と回避)
• フラグメンテーション: フラグメンテーションに関係する IP ヘッダー フィールド、フラグメントの構成、最新のフラグメンテーション攻撃

UNIX コマンド ライン処理

• パケットを効率的に処理する
• 質問に答え、ネットワークを調査するためのデータの解析と集約
• より高速な分析のための正規表現の使用

SEC503.2: ネットワークの監視と分析: パート II

このセクションこのコースの「第二言語としてのパケット」の部分を締めくくり、今後のより深い議論の土台を築きます。受講者は、TCP/IP モデルで使用される主要なトランスポート層プロトコルと、その使用に現代のトレンドがどのような影響を与えているかについて深く理解します。このレッスンでは、Wireshark と TCPdump を使用して独自のトラフィックを分析する方法を学びます。Wireshark の表示フィルターと Berkeley パケット フィルターを使用して、従来のインフラストラクチャとクラウドベースのインフラストラクチャにおける脅威を検出するために、大規模なデータを関心のあるトラフィックに絞り込むことに焦点を当てます。このセクションでは、各ヘッダー フィールドの意味と機能など、現代のネットワーク監視に非常に重大な影響を与える最新のイノベーションについても説明します。

Wireshark ディスプレイ フィルター

• Wireshark がディスプレイ フィルターの作成を容易にする多くの方法のいくつかについて検討します
• ディスプレイ フィルターの構成

BPF フィルターの作成

• BPF の普遍性とフィルターの有用性
• BPF フィルターの形式
• ビット マスキングの使用

TCP

• 理論と実践における分野の検討
• パケット分析
• チェックサム
• 正常および異常な TCP 刺激と応答
• IDS/IPS における TCP 再構成の重要性

UDP

• 理論と実践における分野の検討
• UDP 刺激と応答

ICMP

• 理論と実践における分野の検討
• ICMP メッセージを送信してはいけない場合
• マッピングと偵察での使用
• 通常の ICMP
• 悪意のある ICMP

IP6

• 基礎
• IP6 の改良点
• マルチキャスト プロトコルと IP6 によるその活用方法
• IP6 の脅威

現実世界アプリケーション: ネットワークの調査

• 最も多く話しているのは誰か?
• 人々は何に接続しているのか?
• ネットワーク上で実行されているサービスは何なのか?
• どのような東西トラフィックが存在するのか?

SEC503.3: シグネチャベースの脅威検出と対応

コースの 3 番目のセクションでは、最初の 2 つのセクションを基に、アプリケーション層プロトコルについて学習します。この知識を使用して、クラウド、エンドポイント、ハイブリッド ネットワーク、従来のインフラストラクチャで脅威を見つける方法を学びます。また、学生は、パケットを操作、作成、読み取り、書き込みできる強力な Python ベースのパケット作成ツール Scapy についても学習します。Scapy を使用してパケットを作成し、監視ツールまたはファイアウォールの検出機能をテストできます。特に、ユーザーが作成したネットワーク監視ルールに新しく発表された脆弱性が追加された場合、これは重要です。

Scapy

• Scapy を使用したパケットの作成と分析
• ネットワークまたは Pcap ファイルへのパケットの書き込み
• ネットワークまたは Pcap ファイルからのパケットの読み取り
• ネットワーク分析とネットワーク防御のための実用的な Scapy の使用

高度な Wireshark

• Web およびその他のサポートされているオブジェクトのエクスポート
• 任意のアプリケーション コンテンツの抽出
• インシデントの Wireshark 調査
• SMB プロトコル アクティビティの分析に使用される実用的な Wireshark
• Tshark

Snort/Suricata の概要

• ツールの構成と基本的なログ記録
• 簡単なルールの作成
• 一般的なオプションの使用

効果的な Snort/Suricata

• 非常に大規模なネットワーク向けの本当に効率的なルールの作成に関するより高度なコンテンツ
• 簡単にバイパスまたは回避されない柔軟なルールの作成方法の理解
• すべての実践的なアクティビティに対する Snort/Suricata の「自分の冒険を選択する」アプローチ
• 進化するエクスプロイトの段階的な調査、すべての形式の攻撃を検出するためのルールの段階的な改善
• Snort/Suricata の適用アプリケーション層プロトコル

DNS

• DNS のアーキテクチャと機能
• DNSSEC
• EDNS (拡張 DNS) などの DNS の最新の進歩
• キャッシュ ポイズニングを含む悪意のある DNS
• DNS 脅威アクティビティを識別するためのルールの作成

Microsoft プロトコル

• SMB/CIFS
• 検出の課題
• 実用的な Wireshark アプリケーション

最新の HTTP

• プロトコル形式
• このプロトコルが進化する理由と方法
• 検出の課題
• HTTP2 と HTTP3 の変更点

プロトコルの調査方法

• QUIC をケース スタディとして使用する
• GQUIC と IETF QUIC の比較

実際のアプリケーション: 関心のあるトラフィックの識別

• 大規模なパケット リポジトリ内の異常なアプリケーション データの検出
• 関連レコードの抽出
• アプリケーションの調査と分析

SEC503.4: ゼロデイ脅威検出システムの構築

セクション 4 では、最初の 3 つのセクションで得た知識に基づいて、最新および将来の侵入検出システムを詳細に検討します。これまで学習したすべての知識を組み合わせることで、学生は Zeek (または Corelight) による高度な動作検出を通じて、Snort/FirePower/Suricata や次世代ファイアウォールよりもはるかに優れた脅威検出機能を設計できるようになります。

ネットワーク アーキテクチャ

• トラフィック収集のためのネットワークのインストルメンテーション
• ネットワーク監視および脅威検出の展開戦略
• トラフィックをキャプチャするハードウェア

大規模なネットワーク監視の概要

• ネットワーク監視ツールの機能
• 検出におけるアナリストの役割
• 分析フロー プロセス

Zeek

• Zeek の概要
• Zeek の動作モード
• Zeek の出力ログとその使用方法
• 実用的な脅威分析および脅威モデリング
• Zeek スクリプト
• Zeek を使用して関連する動作を監視し、相関させる

IDS/IPS 回避理論

• さまざまなプロトコル レイヤーでの回避の理論と影響
• 回避のサンプリング
• ターゲットベースの検出の必要性
• ゼロデイ監視回避

SEC503.5: 大規模な脅威検出、フォレンジック、および分析

このセクションでは、正式な指導ではなく、実践的な演習に重点を置いています。このセクションでは、NetFlow と IPFIX を使用したデータ駆動型の大規模な分析と収集から始まる 3 つの主要な領域を取り上げます。コースの最初のセクションで得たプロトコルの背景知識があれば、NetFlow を使用してクラウドや従来のインフラストラクチャで脅威ハンティングを実行できます。基礎を学んだ後、受講者はカスタム NetFlow クエリの使用と構築を通じて、より高度な分析と脅威検出に進みます。2 番目の領域では、トラフィック分析を紹介し、大規模な分析のテーマを継続します。ゼロデイ脅威ハンティングのためのさまざまなツールと手法を紹介した後、受講者はそれらを実践する機会を得ます。このコースでは、異常を検出するための人工知能と機械学習の最先端のアプリケーションも取り上げます。このセクションの最後の領域では、ネットワーク フォレンジックと再構築されたインシデントを扱います。各受講者は、コースを通じて学んだツールと手法を使用して、3 つの詳細な実践的なインシデントに取り組みます。

ネットワーク フロー レコードの使用

• NetFlow および IPFIX メタデータ分析
• SiLK を使用して関心のあるイベントを見つける
• NetFlow データによる横方向の移動の識別
• カスタム NetFlow クエリの作成

脅威ハンティングと視覚化

• エンタープライズ規模のネットワークでネットワーク脅威ハンティングを実行するためのさまざまなアプローチ
• 異常を特定するためにネットワークの動作を視覚化するアプローチを含む演習
• セキュリティ操作を合理化し、脅威ハンティングを実行するためのデータ サイエンスのアプリケーション
• 防御されたネットワークでネットワーク プロトコルの異常を特定するための AI ベースのシステムの実験

ネットワーク フォレンジック分析の概要

• ネットワーク フォレンジック分析の理論
• エクスプロイトのフェーズ
• データ駆動型分析とアラート駆動型分析の比較
• 仮説駆動型視覚化

SEC503.6: 高度なネットワーク監視と脅威検出のキャップストーン

このコースは、やりがいがあり楽しい、サーバーベースのネットワーク監視と脅威検出の実践的なキャップストーンで締めくくられます。このコースでは、受講者は個人またはチームで競い合い、学んだツールや理論を使用してさまざまな質問に答えます。6 つのセクションの実際のデータに基づいて、時間的に制約のあるインシデントの調査が課題となります。この「同乗」イベントでは、受講者はプロのアナリスト チームが実施した同じデータ分析に基づいて質問に答えます。

要点

GIAC 侵入アナリスト認定を取得することで、実務者はネットワークとホストの監視、トラフィック分析、侵入検知の知識を証明できます。GIAC GCIA 認定を取得すると、侵入検知システムを構成および監視し、ネットワーク トラフィックとログ ファイルを読み取り、解釈、分析できます。

GCIA 認定が利用可能になりました。代理試験センターをお探しなら、ここが最適な場所です。CBT プロキシ チームが、初回の受験で試験に合格できるようお手伝いします。試験について当社のコンサルタントと話すには、下のチャット ボタンをクリックしてください。