GCIA 認定プログラムで学べること: 総合ガイド

情報セキュリティのキャリアに興味がある場合は、GIAC GCIA 認定プログラムが最も重要なコースになります。 GCIA 認定コースは、最もやりがいのあるコースですが、最もやりがいのあるコースでもあると考えられています。

効果的な脅威ハンティングを実行して、ネットワーク上のゼロデイアクティビティが公開される前に検出する方法を学びたい場合、これ以上のコースはありません。すぐに使用できるツールによって生成されるネットワーク監視アラートを理解したい人は、GCIA 認定を受けるべきではありません。

ただし、GCIA 認定は、現在のネットワークで何が起こっているかを深く理解したいと考えており、ツールが現在報告していない深刻な問題を疑う人向けです。

GIAC 認定侵入アナリスト (GCIA) 認定とは何ですか?

GIAC 認定侵入アナリスト (GCIA) 認定資格は、侵入検知と分析に関する専門家の知識とスキルを検証するために設計されたベンダー中立の資格です。 GIAC GCIA 認定を取得すると、侵入検知システムの構成と監視、ネットワークトラフィックとログファイルの読み取り、解釈、分析、およびネットワークで何が起こっているかを理解することができます。

GIAC GCIA 認定を取得するには、ネットワークトラフィック分析、シグネチャ作成、ログ分析、インシデント処理など、さまざまな試験目的をカバーする監督付き試験に合格する必要があります。 GIAC GCIA 試験には、106 の多肢選択問題があります。 GCIA 認定試験の所要時間は 4 時間です。 GCIA 試験に合格するには、少なくとも 67% のスコアが必要です。

GCIA 試験の対象分野は次のとおりです。

トラフィック分析とアプリケーションプロトコルの基礎
オープンソース IDS: Snort と Zeek
ネットワークトラフィックのフォレンジックと監視

GCIA 認定資格を取得できるのは誰ですか?

侵入検知を担当する実務者
システムアナリスト
セキュリティアナリスト
ネットワークエンジニア
ネットワーク管理者
ハンズオンセキュリティマネージャー

以下のスキルを習得します

別の見出しにならないようにサイトのトラフィックを分析する
どのネットワーク監視ツールも特定していないゼロデイ脅威を特定する方法
ネットワーク監視: 配置、カスタマイズ、および調整する方法
特にインシデント発生時に、ネットワークアラートをトリアージする方法
出来事を再構築することで、何が、いつ、誰がしたかを特定する
ネットワークフォレンジック、検出、分析の実務経験
TCP/IP および一般的なアプリケーションプロトコルを使用してネットワークトラフィックを把握し、正常なトラフィックと異常なトラフィックを区別できるようにします
署名ベースのネットワークの監視: 長所と短所
企業全体の自動相関のための行動ネットワークの監視と、それらを効果的に使用する方法
ネットワーク活動に対する効果的な脅威モデリングの実行
脅威モデリングをゼロデイ脅威検出機能に変換
従来型ネットワーク、ハイブリッドネットワーク、クラウドネットワークのフローデータを分析して検出を強化する

＃＃あなたはできるでしょう

Snort と Suricata を構成して実行する
効果的かつ効率的な Snort、Suricata、および FirePOWER ルールを作成して記述します。
オープンソースの Zeek を構成して実行し、ハイブリッドトラフィック分析フレームワークを提供します。
自動化された脅威ハンティング相関スクリプトを Zeek で作成します。
TCP/IP コンポーネント層を理解して、脅威を特定するために正常なトラフィックと異常なトラフィックを識別します。
トラフィック分析ツールを使用して、侵害またはアクティブな脅威の兆候を特定します。
ネットワークフォレンジックを実行してトラフィックを調査し、TTP を特定してアクティブな脅威を見つけます。
ネットワークトラフィックからファイルやその他の種類のコンテンツを切り出して、イベントを再構築します。
BPF フィルターを作成して、特定のトラフィック特性を大規模に選択的に調べます。
Scapy でパケットを作成します。
NetFlow/IPFIX ツールを使用して、ネットワーク動作の異常と潜在的な脅威を見つけます。
ネットワークアーキテクチャとハードウェアに関する知識を使用して、ネットワーク監視センサーの配置をカスタマイズし、ネットワークからトラフィックを盗聴します。

GCIA 認定試験のシラバス

SEC503.1: ネットワークの監視と分析: パート I

このセクションでは、TCP/IP プロトコルスタックを詳しく説明し、クラウドまたは従来のインフラストラクチャで脅威をより適切に監視および検出できるようにします。最初のステップは、「第二言語としてのパケット」コースと呼ばれます。脅威を特定し、TTP を特定するために、学生はすぐに低レベルのパケット分析に没頭し、ゼロデイ攻撃やその他の攻撃で使用されるパケットを収集します。このセクションでは、学生は TCP/IP 通信の基礎、ビット、バイト、2 進数、16 進数の理論、および各フィールドの意味と期待される動作について学習します。学生は、Wireshark や Tcpdump などのツールを使用してトラフィックを分析する方法を学びます。

TCP/IP の概念

パケットのヘッダーとデータを理解する必要があるのはなぜですか?
TCP/IP 通信モデル
データのカプセル化/カプセル化解除
ビット、バイト、バイナリ、および 16 進数

Wireshark の紹介

Wireshark をナビゲートする
Wireshark プロファイル
Wireshark 統計オプションの調査
ストリームの再構築
パケット内のコンテンツの検索

ネットワークアクセス/リンクレイヤー: レイヤー 2

リンク層の紹介
アドレッシング解決プロトコル
レイヤー 2 の攻撃と防御

IP レイヤー: レイヤー 3

-IPv4 - 理論と実践における分野の検討 - 特にネットワーク監視と回避のためのチェックサムとその重要性 - フラグメンテーション: フラグメンテーションに関係する IP ヘッダーフィールド、フラグメントの構成、最新のフラグメンテーション攻撃

UNIX コマンドライン処理

パケットを効率的に処理する
質問に回答し、ネットワークを調査するためのデータの解析と集計
より高速な分析のための正規表現の使用

SEC503.2: ネットワークの監視と分析: パート II

このセクションでは、コースの「第 2 言語としてのパケット」部分を終了し、今後のより深い議論の準備を整えます。受講者は、TCP/IP モデルで使用される主要なトランスポート層プロトコルと、最新の傾向がその使用にどのように影響しているかについて深く理解できます。このレッスンでは、Wireshark と TCPdump を使用して独自のトラフィックを分析する方法を学習します。従来のクラウドベースのインフラストラクチャで脅威を検出するために、Wireshark ディスプレイフィルタと Berkeley Packet Filters を利用して、大規模なデータを対象のトラフィックにフィルタリングすることに重点を置いています。このセクションでは、すべてのヘッダーフィールドの意味と機能を含む、最新のネットワーク監視に非常に深刻な影響を与える最新の技術革新についても説明します。

Wireshark ディスプレイフィルタ

Wireshark がディスプレイフィルタの作成を容易にする多くの方法のいくつかの検討
表示フィルターの構成

BPF フィルターの作成

BPF の遍在性とフィルターの有用性
BPF フィルターのフォーマット
ビットマスキングの使用

TCP

理論と実践における分野の検討
パケット解剖
チェックサム
正常および異常な TCP 刺激と応答
IDS/IPS の TCP 再構成の重要性

UDP

理論と実践における分野の検討
UDP 刺激と応答

ICMP

理論と実践における分野の検討
ICMP メッセージを送信してはいけない場合
マッピングと偵察での使用
通常の ICMP
悪意のある ICMP

IP6

基礎
IP6 の改善
マルチキャストプロトコルと、それらが IP6 によってどのように活用されるか
IP6 の脅威

実世界への応用: ネットワークの研究

トップトーカーは誰ですか?
人々は何とつながっていますか?
ネットワーク上で実行されているサービスは何ですか?
どのような東西交通が存在しますか?

SEC503.3: シグネチャベースの脅威の検出と対応

コースの 3 番目のセクションでは、最初の 2 つのセクションに基づいて、アプリケーション層のプロトコルを調べます。この知識を使用して、クラウド、エンドポイント、ハイブリッドネットワーク、および従来のインフラストラクチャで脅威を特定する方法を学習します。生徒は、強力な Python ベースのパケット作成ツール Scapy についても学びます。これにより、生徒はパケットの操作、作成、読み取り、書き込みを行うことができます。 Scapy を使用してパケットを作成し、監視ツールまたはファイアウォールの検出機能をテストできます。特に、ユーザーが作成したネットワーク監視ルールに新たに発表された脆弱性が追加された場合、これは重要です。

スキャピー

Scapy を使用したパケットの作成と分析
ネットワークまたは Pcap ファイルへのパケットの書き込み
ネットワークまたは Pcap ファイルからのパケットの読み取り
ネットワーク分析とネットワーク防御者のための実用的な Scapy の使用

高度な Wireshark

Web およびその他のサポートされているオブジェクトのエクスポート
任意のアプリケーションコンテンツの抽出
インシデントの Wireshark 調査
SMB プロトコルアクティビティの分析に使用される実用的な Wireshark
ツシャーク

Snort/Suricata の紹介

ツールの構成と基本的なロギング
簡単なルールを書く
共通オプションの使用

効果的なSnort/Suricata

非常に大規模なネットワーク向けに真に効率的なルールを作成するためのより高度なコンテンツ
簡単にバイパスまたは回避されない柔軟なルールの作成方法の理解
Snort/Suricata 「自分だけの冒険を選ぶ」アプローチで、すべての実践的なアクティビティに対応
進化するエクスプロイトを漸進的に調査し、すべての形式の攻撃を検出するルールを段階的に改善します。
アプリケーション層プロトコルへの Snort/Suricata の適用

DNS

DNS のアーキテクチャと機能 -DNSSEC
EDNS (拡張 DNS) などの DNS の最新の進歩
キャッシュポイズニングを含む悪意のある DNS
DNS 脅威活動を識別するためのルールの作成

マイクロソフトのプロトコル

-SMB/CIFS

検出の課題
実用的な Wireshark アプリケーション

SEC503.4: ゼロデイ脅威検出システムの構築

セクション 4 では、最初の 3 つのセクションで得た知識に基づいて、最新および将来の侵入検知システムを詳しく調べます。学生がこれまでに学んだことをすべて組み合わせることで、学生は、Zeek (または Corelight) による高度な動作検出を通じて、Snort/FirePower/Suricata および次世代ファイアウォールよりもはるかに優れた脅威検出機能を設計できるようになりました。

ネットワークアーキテクチャ

トラフィック収集のためのネットワークの計測
ネットワーク監視と脅威検出の展開戦略
トラフィックをキャプチャするハードウェア

大規模なネットワーク監視の概要

ネットワーク監視ツールの機能
検出におけるアナリストの役割
分析フローのプロセス

ジーク

ジークの紹介
Zeek 操作モード
Zeek の出力ログとその使い方
実践的な脅威分析と脅威モデリング
Zeek スクリプト
Zeek を使用して、関連する動作を監視および関連付ける

IDS/IPS 回避理論

異なるプロトコル層での回避の理論と意味
回避のサンプリング
ターゲットベースの検出の必要性
ゼロデイ監視回避

SEC503.5: 大規模な脅威の検出、フォレンジック、分析

このセクションでは、正式な指示ではなく実践的な演習に重点を置いています。このセクションでは、NetFlow と IPFIX を使用したデータ駆動型の大規模な分析と収集から始めて、3 つの主要な領域について説明します。コースの最初のセクションで得たプロトコルの背景を使用して、NetFlow を使用して、クラウドおよび従来のインフラストラクチャで脅威ハンティングを実行できます。基礎を学習した後、受講者は、カスタム NetFlow クエリを使用および構築する、より高度な分析と脅威検出に進みます。 2 番目の領域では、トラフィック分析を紹介し、大規模分析のテーマを継続します。ゼロデイ脅威ハンティングのためのさまざまなツールとテクニックが紹介された後、学生はそれらを実践する機会を得ます。このコースでは、異常を検出するための人工知能と機械学習の最先端のアプリケーションについても説明します。このセクションの最後の領域には、ネットワークフォレンジックと再構築されたインシデントが含まれます。各生徒は、コース全体で学んだツールとテクニックを使用して、3 つの詳細な実践的なインシデントに取り組みます。

ネットワークフローレコードの使用

NetFlow および IPFIX メタデータ分析
SiLK を使用して関心のあるイベントを見つける
NetFlow データによる横移動の識別
カスタム NetFlow クエリの作成

脅威のハンティングと可視化

ネットワーク内の企業規模でネットワーク脅威ハンティングを実行するためのさまざまなアプローチ
異常を特定するためにネットワークの動作を視覚化するアプローチに関する演習
セキュリティ運用を合理化し、脅威ハンティングを実行するためのデータサイエンスのアプリケーション
AI ベースのシステムを使用して、防御されたネットワークでネットワークプロトコルの異常を特定する実験

ネットワークフォレンジック分析の概要

ネットワークフォレンジック分析の理論
搾取の段階
データ主導の分析とアラート主導の分析
仮説主導の視覚化

SEC503.6: 高度なネットワーク監視と脅威検出 Capstone

このコースは、挑戦的で楽しい実践的なサーバーベースのネットワーク監視と脅威検出の頂点で締めくくられます。このコースでは、学生は個人またはチームで、学習したツールと理論を使用してさまざまな質問に答えることを競います。実世界のデータの 6 つのセクションに基づいて、この課題には時間的制約のあるインシデントの調査が含まれます。この「ライドアロング」イベントでは、プロのアナリストチームによる同じデータ分析に基づいて、学生が質問に答えます。

結論

GIAC Intrusion Analyst 認定を取得することで、実践者はネットワークとホストの監視、トラフィック分析、および侵入検出の知識を実証します。 GIAC GCIA 認定を取得すると、侵入検知システムを構成および監視し、ネットワークトラフィックとログファイルを読み取り、解釈、分析できます。

GCIA認定が利用可能になりました。代理試験センターを探しているなら、あなたは正しい場所に来ました! CBT Proxy チームは、初回の受験で試験に合格できるようお手伝いします。下のチャットボタンをクリックして、試験について弊社のコンサルタントとお話しください。