情報セキュリティのキャリアに興味がある場合は、GIAC GCIA 認定プログラムが最も重要なコースになります。 GCIA 認定コースは、最もやりがいのあるコースですが、最もやりがいのあるコースでもあると考えられています。
効果的な脅威ハンティングを実行して、ネットワーク上のゼロデイ アクティビティが公開される前に検出する方法を学びたい場合、これ以上のコースはありません。すぐに使用できるツールによって生成されるネットワーク監視アラートを理解したい人は、GCIA 認定を受けるべきではありません。
ただし、GCIA 認定は、現在のネットワークで何が起こっているかを深く理解したいと考えており、ツールが現在報告していない深刻な問題を疑う人向けです。
GIAC 認定侵入アナリスト (GCIA) 認定とは何ですか?
GIAC 認定侵入アナリスト (GCIA) 認定資格は、侵入検知と分析に関する専門家の知識とスキルを検証するために設計されたベンダー中立の資格です。 GIAC GCIA 認定を取得すると、侵入検知システムの構成と監視、ネットワーク トラフィックとログ ファイルの読み取り、解釈、分析、およびネットワークで何が起こっているかを理解することができます。
GIAC GCIA 認定を取得するには、ネットワーク トラフィック分析、シグネチャ作成、ログ分析、インシデント処理など、さまざまな試験目的をカバーする監督付き試験に合格する必要があります。 GIAC GCIA 試験には、106 の多肢選択問題があります。 GCIA 認定試験の所要時間は 4 時間です。 GCIA 試験に合格するには、少なくとも 67% のスコアが必要です。
GCIA 試験の対象分野は次のとおりです。
- トラフィック分析とアプリケーション プロトコルの基礎
- オープンソース IDS: Snort と Zeek
- ネットワーク トラフィックのフォレンジックと監視
GCIA 認定資格を取得できるのは誰ですか?
- 侵入検知を担当する実務者
- システムアナリスト
- セキュリティアナリスト
- ネットワークエンジニア
- ネットワーク管理者
- ハンズオン セキュリティ マネージャー
以下のスキルを習得します
- 別の見出しにならないようにサイトのトラフィックを分析する
- どのネットワーク監視ツールも特定していないゼロデイ脅威を特定する方法
- ネットワーク監視: 配置、カスタマイズ、および調整する方法
- 特にインシデント発生時に、ネットワーク アラートをトリアージする方法
- 出来事を再構築することで、何が、いつ、誰がしたかを特定する
- ネットワーク フォレンジック、検出、分析の実務経験
- TCP/IP および一般的なアプリケーション プロトコルを使用してネットワーク トラフィックを把握し、正常なトラフィックと異常なトラフィックを区別できるようにします
- 署名ベースのネットワークの監視: 長所と短所
- 企業全体の自動相関のための行動ネットワークの監視と、それらを効果的に使用する方法
- ネットワーク活動に対する効果的な脅威モデリングの実行
- 脅威モデリングをゼロデイ脅威検出機能に変換
- 従来型ネットワーク、ハイブリッド ネットワーク、クラウド ネットワークのフロー データを分析して検出を強化する
## あなたはできるでしょう
- Snort と Suricata を構成して実行する
- 効果的かつ効率的な Snort、Suricata、および FirePOWER ルールを作成して記述します。
- オープンソースの Zeek を構成して実行し、ハイブリッド トラフィック分析フレームワークを提供します。
- 自動化された脅威ハンティング相関スクリプトを Zeek で作成します。
- TCP/IP コンポーネント層を理解して、脅威を特定するために正常なトラフィックと異常なトラフィックを識別します。
- トラフィック分析ツールを使用して、侵害またはアクティブな脅威の兆候を特定します。
- ネットワーク フォレンジックを実行してトラフィックを調査し、TTP を特定してアクティブな脅威を見つけます。
- ネットワーク トラフィックからファイルやその他の種類のコンテンツを切り出して、イベントを再構築します。
- BPF フィルターを作成して、特定のトラフィック特性を大規模に選択的に調べます。
- Scapy でパケットを作成します。
- NetFlow/IPFIX ツールを使用して、ネットワーク動作の異常と潜在的な脅威を見つけます。
- ネットワーク アーキテクチャとハードウェアに関する知識を使用して、ネットワーク監視センサーの配置をカスタマイズし、ネットワークからトラフィックを盗聴します。
GCIA 認定試験のシラバス
SEC503.1: ネットワークの監視と分析: パート I
このセクションでは、TCP/IP プロトコル スタックを詳しく説明し、クラウドまたは従来のインフラストラクチャで脅威をより適切に監視および検出できるようにします。最初のステップは、「第二言語としてのパケット」コースと呼ばれます。脅威を特定し、TTP を特定するために、学生はすぐに低レベルのパケット分析に没頭し、ゼロデイ攻撃やその他の攻撃で使用されるパケットを収集します。このセクションでは、学生は TCP/IP 通信の基礎、ビット、バイト、2 進数、16 進数の理論、および各フィールドの意味と期待される動作について学習します。学生は、Wireshark や Tcpdump などのツールを使用してトラフィックを分析する方法を学びます。
TCP/IP の概念
- パケットのヘッダーとデータを理解する必要があるのはなぜですか?
- TCP/IP 通信モデル
- データのカプセル化/カプセル化解除
- ビット、バイト、バイナリ、および 16 進数
Wireshark の紹介
- Wireshark をナビゲートする
- Wireshark プロファイル
- Wireshark 統計オプションの調査
- ストリームの再構築
- パケット内のコンテンツの検索
ネットワーク アクセス/リンク レイヤー: レイヤー 2
- リンク層の紹介
- アドレッシング解決プロトコル
- レイヤー 2 の攻撃と防御
IP レイヤー: レイヤー 3
-IPv4 - 理論と実践における分野の検討 - 特にネットワーク監視と回避のためのチェックサムとその重要性 - フラグメンテーション: フラグメンテーションに関係する IP ヘッダー フィールド、フラグメントの構成、最新のフラグメンテーション攻撃
UNIX コマンド ライン処理
- パケットを効率的に処理する
- 質問に回答し、ネットワークを調査するためのデータの解析と集計
- より高速な分析のための正規表現の使用
SEC503.2: ネットワークの監視と分析: パート II
このセクションでは、コースの「第 2 言語としてのパケット」部分を終了し、今後のより深い議論の準備を整えます。受講者は、TCP/IP モデルで使用される主要なトランスポート層プロトコルと、最新の傾向がその使用にどのように影響しているかについて深く理解できます。このレッスンでは、Wireshark と TCPdump を使用して独自のトラフィックを分析する方法を学習します。従来のクラウドベースのインフラストラクチャで脅威を検出するために、Wireshark ディスプレイ フィルタと Berkeley Packet Filters を利用して、大規模なデータを対象のトラフィックにフィルタリングすることに重点を置いています。このセクションでは、すべてのヘッダー フィールドの意味と機能を含む、最新のネットワーク監視に非常に深刻な影響を与える最新の技術革新についても説明します。
Wireshark ディスプレイ フィルタ
- Wireshark がディスプレイ フィルタの作成を容易にする多くの方法のいくつかの検討
- 表示フィルターの構成
BPF フィルターの作成
- BPF の遍在性とフィルターの有用性
- BPF フィルターのフォーマット
- ビットマスキングの使用
TCP
- 理論と実践における分野の検討
- パケット解剖
- チェックサム
- 正常および異常な TCP 刺激と応答
- IDS/IPS の TCP 再構成の重要性
UDP
- 理論と実践における分野の検討
- UDP 刺激と応答
ICMP
- 理論と実践における分野の検討
- ICMP メッセージを送信してはいけない場合
- マッピングと偵察での使用
- 通常の ICMP
- 悪意のある ICMP
IP6
- 基礎
- IP6 の改善
- マルチキャスト プロトコルと、それらが IP6 によってどのように活用されるか
- IP6 の脅威
実世界への応用: ネットワークの研究
- トップトーカーは誰ですか?
- 人々は何とつながっていますか?
- ネットワーク上で実行されているサービスは何ですか?
- どのような東西交通が存在しますか?
SEC503.3: シグネチャベースの脅威の検出と対応
コースの 3 番目のセクションでは、最初の 2 つのセクションに基づいて、アプリケーション層のプロトコルを調べます。この知識を使用して、クラウド、エンドポイント、ハイブリッド ネットワーク、および従来のインフラストラクチャで脅威を特定する方法を学習します。生徒は、強力な Python ベースのパケット作成ツール Scapy についても学びます。これにより、生徒はパケットの操作、作成、読み取り、書き込みを行うことができます。 Scapy を使用してパケットを作成し、監視ツールまたはファイアウォールの検出機能をテストできます。特に、ユーザーが作成したネットワーク監視ルールに新たに発表された脆弱性が追加された場合、これは重要です。
スキャピー
- Scapy を使用したパケットの作成と分析
- ネットワークまたは Pcap ファイルへのパケットの書き込み
- ネットワークまたは Pcap ファイルからのパケットの読み取り
- ネットワーク分析とネットワーク防御者のための実用的な Scapy の使用
高度な Wireshark
- Web およびその他のサポートされているオブジェクトのエクスポート
- 任意のアプリケーション コンテンツの抽出
- インシデントの Wireshark 調査
- SMB プロトコル アクティビティの分析に使用される実用的な Wireshark
- ツシャーク
Snort/Suricata の紹介
- ツールの構成と基本的なロギング
- 簡単なルールを書く
- 共通オプションの使用
効果的なSnort/Suricata
- 非常に大規模なネットワーク向けに真に効率的なルールを作成するためのより高度なコンテンツ
- 簡単にバイパスまたは回避されない柔軟なルールの作成方法の理解
- Snort/Suricata 「自分だけの冒険を選ぶ」アプローチで、すべての実践的なアクティビティに対応
- 進化するエクスプロイトを漸進的に調査し、すべての形式の攻撃を検出するルールを段階的に改善します。
- アプリケーション層プロトコルへの Snort/Suricata の適用
DNS
- DNS のアーキテクチャと機能 -DNSSEC
- EDNS (拡張 DNS) などの DNS の最新の進歩
- キャッシュ ポイズニングを含む悪意のある DNS
- DNS 脅威活動を識別するためのルールの作成
マイクロソフトのプロトコル
-SMB/CIFS
- 検出の課題
- 実用的な Wireshark アプリケーション
最新の HTTP
- プロトコル形式
- このプロトコルが進化する理由と方法
- 検出の課題
- HTTP2 および HTTP3 での変更
プロトコルの調査方法
- ケーススタディとしてのQUICの使用
- GQUIC と IETF QUIC の比較
実世界への適用: 関心のあるトラフィックの識別
- 大規模なパケット リポジトリ内の異常なアプリケーション データの検出
- 関連レコードの抽出
- アプリケーションの調査と分析
SEC503.4: ゼロデイ脅威検出システムの構築
セクション 4 では、最初の 3 つのセクションで得た知識に基づいて、最新および将来の侵入検知システムを詳しく調べます。学生がこれまでに学んだことをすべて組み合わせることで、学生は、Zeek (または Corelight) による高度な動作検出を通じて、Snort/FirePower/Suricata および次世代ファイアウォールよりもはるかに優れた脅威検出機能を設計できるようになりました。
ネットワーク アーキテクチャ
- トラフィック収集のためのネットワークの計測
- ネットワーク監視と脅威検出の展開戦略
- トラフィックをキャプチャするハードウェア
大規模なネットワーク監視の概要
- ネットワーク監視ツールの機能
- 検出におけるアナリストの役割
- 分析フローのプロセス
ジーク
- ジークの紹介
- Zeek 操作モード
- Zeek の出力ログとその使い方
- 実践的な脅威分析と脅威モデリング
- Zeek スクリプト
- Zeek を使用して、関連する動作を監視および関連付ける
IDS/IPS 回避理論
- 異なるプロトコル層での回避の理論と意味
- 回避のサンプリング
- ターゲットベースの検出の必要性
- ゼロデイ監視回避
SEC503.5: 大規模な脅威の検出、フォレンジック、分析
このセクションでは、正式な指示ではなく実践的な演習に重点を置いています。このセクションでは、NetFlow と IPFIX を使用したデータ駆動型の大規模な分析と収集から始めて、3 つの主要な領域について説明します。コースの最初のセクションで得たプロトコルの背景を使用して、NetFlow を使用して、クラウドおよび従来のインフラストラクチャで脅威ハンティングを実行できます。基礎を学習した後、受講者は、カスタム NetFlow クエリを使用および構築する、より高度な分析と脅威検出に進みます。 2 番目の領域では、トラフィック分析を紹介し、大規模分析のテーマを継続します。ゼロデイ脅威ハンティングのためのさまざまなツールとテクニックが紹介された後、学生はそれらを実践する機会を得ます。このコースでは、異常を検出するための人工知能と機械学習の最先端のアプリケーションについても説明します。このセクションの最後の領域には、ネットワーク フォレンジックと再構築されたインシデントが含まれます。各生徒は、コース全体で学んだツールとテクニックを使用して、3 つの詳細な実践的なインシデントに取り組みます。
ネットワーク フロー レコードの使用
- NetFlow および IPFIX メタデータ分析
- SiLK を使用して関心のあるイベントを見つける
- NetFlow データによる横移動の識別
- カスタム NetFlow クエリの作成
脅威のハンティングと可視化
- ネットワーク内の企業規模でネットワーク脅威ハンティングを実行するためのさまざまなアプローチ
- 異常を特定するためにネットワークの動作を視覚化するアプローチに関する演習
- セキュリティ運用を合理化し、脅威ハンティングを実行するためのデータ サイエンスのアプリケーション
- AI ベースのシステムを使用して、防御されたネットワークでネットワーク プロトコルの異常を特定する実験
ネットワーク フォレンジック分析の概要
- ネットワークフォレンジック分析の理論
- 搾取の段階
- データ主導の分析とアラート主導の分析
- 仮説主導の視覚化
SEC503.6: 高度なネットワーク監視と脅威検出 Capstone
このコースは、挑戦的で楽しい実践的なサーバーベースのネットワーク監視と脅威検出の頂点で締めくくられます。このコースでは、学生は個人またはチームで、学習したツールと理論を使用してさまざまな質問に答えることを競います。実世界のデータの 6 つのセクションに基づいて、この課題には時間的制約のあるインシデントの調査が含まれます。この「ライドアロング」イベントでは、プロのアナリスト チームによる同じデータ分析に基づいて、学生が質問に答えます。
結論
GIAC Intrusion Analyst 認定を取得することで、実践者はネットワークとホストの監視、トラフィック分析、および侵入検出の知識を実証 します。 GIAC GCIA 認定を取得すると、侵入検知システムを構成および監視し、ネットワーク トラフィックとログ ファイルを読み取り、解釈、分析できます。
GCIA認定が利用可能になりました。代理試験センターを探しているなら、あなたは正しい場所に来ました! CBT Proxy チームは、初回の受験で試験に合格できるようお手伝いします。下のチャット ボタンをクリックして、試験について弊社のコンサルタントとお話しください。