您将通过 GCIA 认证计划学到什么：综合指南

如果您对信息安全职业感兴趣，GIAC GCIA 认证计划将是您最重要的课程。GCIA 认证课程被认为是最具挑战性的课程，但也是最有回报的课程。

如果您想学习如何执行有效的威胁搜寻以在零日活动公开之前检测网络上的零日活动，那么没有比这更好的课程了。想要了解开箱即用工具生成的网络监控警报的人不应该参加 GCIA 认证。

但是，GCIA 认证适合那些希望深入了解当今网络中发生的事情并怀疑他们的工具现在没有报告的严重问题的人。

什么是 GIAC 认证入侵分析师 (GCIA) 认证？

GIAC 认证入侵分析师 (GCIA) 认证是一种与供应商无关的凭证，旨在验证从业者在入侵检测和分析方面的知识和技能。通过 GIAC GCIA 认证，您将能够配置和监控入侵检测系统，读取、解释和分析网络流量和日志文件，并了解网络上发生的事情。

为了获得 GIAC GCIA 认证，您需要通过监考考试，该考试涵盖各种考试目标，例如网络流量分析、签名创建、日志分析和事件处理。GIAC GCIA 考试中有 106 道多项选择题。完成 GCIA 认证考试需要四个小时。为了通过 GCIA 考试，您需要获得至少 67% 的分数。

以下是 GCIA 考试涵盖的领域：

• 流量分析和应用协议的基础知识
• 开源 IDS：Snort 和 Zeek
• 网络流量取证和监控

谁可以参加 GCIA 认证？

• 负责入侵检测的从业人员
• 系统分析师
• 安全分析师
• 网络工程师
• 网络管理员
• 动手安全经理

您将学习以下技能

• 分析您网站的流量以避免成为另一个头条新闻
• 如何识别任何网络监控工具都未识别的零日威胁
• 网络监控：如何放置、自定义和调整
• 如何分类网络警报，尤其是在事件发生期间
• 通过重建事件确定发生了什么、何时发生以及谁做了这件事
• 具有网络取证、检测和分析的实践经验
• TCP/IP 和常见应用协议，以深入了解您的网络流量，使您能够区分正常流量和异常流量
• 监控基于签名的网络：优点和缺点
• 监控行为网络以实现企业范围的自动关联以及如何有效地使用它们
• 对网络活动执行有效的威胁建模
• 将威胁建模转化为零日威胁检测功能
• 分析传统、混合和云网络中的流数据以增强检测

您将能够

• 配置和运行 Snort 和 Suricata
• 创建并编写有效且高效的 Snort、Suricata 和 FirePOWER 规则。
• 配置和运行开源 Zeek 以提供混合流量分析框架。
• 在 Zeek 中创建自动威胁搜寻关联脚本。
• 了解 TCP/IP 组件层，以识别正常和异常流量以进行威胁识别。
• 使用流量分析工具识别入侵或主动威胁的迹象。
• 执行网络取证以调查流量以识别 TTP 并查找主动威胁。
• 从网络流量中分离文件和其他类型的内容以重建事件。
• 创建 BPF 过滤器以有选择地大规模检查特定流量特征。
• 使用 Scapy 制作数据包。
• 使用 NetFlow/IPFIX 工具查找网络行为异常和潜在威胁。
• 利用您对网络架构和硬件的了解来自定义网络监控传感器的位置并嗅探线路上的流量。

GCIA 认证考试大纲

SEC503.1：网络监控和分析：第一部分

本部分深入介绍 TCP/IP 协议栈，帮助您更好地监控和检测云或传统基础设施中的威胁。第一步称为“数据包作为第二语言”课程。为了识别威胁和识别 TTP，学生将立即沉浸在低级数据包分析中，以收集零日攻击和其他攻击中使用的数据包。在本部分中，学生将学习 TCP/IP 通信的基础知识、位、字节、二进制和十六进制的理论以及每个字段的含义和预期行为。学生将学习使用 Wireshark 和 Tcpdump 等工具来分析流量。

TCP/IP 概念

• 为什么有必要了解数据包头和数据？
• TCP/IP 通信模型
• 数据封装/解封装
• 位、字节、二进制和十六进制

Wireshark 简介

• Wireshark 导航
• Wireshark 配置文件
• 检查 Wireshark 统计选项
• 流重组
• 查找数据包中的内容

网络访问/链路层：第 2 层

• 链路层简介
• 寻址解析协议
• 第 2 层攻击和防御

IP 层：第 3 层

• IPv4
• 理论和实践中的字段检查
• 校验和及其重要性，尤其是对于网络监控和规避
• 碎片：碎片中涉及的 IP 标头字段、碎片的组成、现代碎片攻击

UNIX 命令行处理

• 高效处理数据包
• 解析和聚合数据以回答问题和研究网络
• 使用正则表达式进行更快的分析

SEC503.2：网络监控和分析：第二部分

本节课程的“数据包作为第二语言”部分结束，并为接下来更深入的讨论奠定了基础。学生将深入了解 TCP/IP 模型中使用的主要传输层协议，以及现代趋势如何影响它们的使用。在本课中，您将学习如何使用 Wireshark 和 TCPdump 分析您自己的流量。利用 Wireshark 显示过滤器和 Berkeley 数据包过滤器，重点是将大规模数据过滤为感兴趣的流量，以检测传统和基于云的基础设施中的威胁。本节还介绍了对现代网络监控具有非常严重影响的现代创新，包括每个标头字段的含义和功能。

Wireshark 显示过滤器

• 检查 Wireshark 帮助创建显示过滤器的众多方式中的一些
• 显示过滤器的组成

编写 BPF 过滤器

• BPF 的普遍性和过滤器的实用性
• BPF 过滤器的格式
• 位掩码的使用

TCP

• 理论和实践中字段的检查
• 数据包解析
• 校验和
• 正常和异常 TCP 刺激和响应
• TCP 重组对 IDS/IPS 的重要性

UDP

• 理论和实践中字段的检查
• UDP 刺激和响应

ICMP

• 理论和实践中字段的检查
• 何时不应发送 ICMP 消息
• 用于映射和侦察
• 正常 ICMP
• 恶意 ICMP

IP6

• 基础知识
• 对 IP6 的改进
• 多播协议及其如何被 IP6 利用
• IP6 威胁

实际应用：研究网络

• 谁是顶级通话者？
• 人们正在连接什么？
• 我们的网络正在运行哪些服务？
• 存在哪种东西向流量？

SEC503.3：基于签名的威胁检测和响应

课程的第三部分在前两部分的基础上，通过查看应用层协议。利用这些知识，您将学习如何发现云、端点、混合网络和传统基础设施中的威胁。学生还将了解强大的基于 Python 的数据包制作工具 Scapy，它允许学生操作、创建、读取和写入数据包。您可以使用 Scapy 制作数据包来测试监控工具或防火墙的检测能力。特别是，当新公布的漏洞被添加到用户创建的网络监控规则中时，这一点很重要。

Scapy

• 使用 Scapy 制作和分析数据包
• 将数据包写入网络或 Pcap 文件
• 从网络或 Pcap 文件读取数据包
• Scapy 在网络分析和网络防御方面的实用用途

高级 Wireshark

• 导出 Web 和其他支持的对象
• 提取任意应用程序内容
• Wireshark 对事件的调查
• 用于分析 SMB 协议活动的实用 Wireshark
• Tshark

Snort/Suricata 简介

• 工具配置和基本日志记录
• 编写简单规则
• 使用常用选项

有效的 Snort/Suricata

• 有关为非常大的网络编写真正有效规则的更多高级内容
• 了解如何编写不易绕过或逃避的灵活规则
• Snort/Suricata “选择自己的冒险”方法进行所有动手活动
• 逐步检查不断发展的漏洞，逐步改进规则以检测所有形式的攻击
• 应用Snort/Suricata 到应用层协议

DNS

• DNS 架构和功能
• DNSSEC
• DNS 的现代进步，例如 EDNS（扩展 DNS）
• 恶意 DNS，包括缓存中毒
• 创建规则以识别 DNS 威胁活动

Microsoft 协议

• SMB/CIFS
• 检测挑战
• 实用的 Wireshark 应用程序

现代 HTTP

• 协议格式
• 此协议为何以及如何演变
• 检测挑战
• HTTP2 和 HTTP3 的变化

如何研究协议

• 使用 QUIC 作为案例研究
• GQUIC 与 IETF QUIC 的比较

实际应用：识别感兴趣的流量

• 在大型数据包存储库中查找异常应用程序数据
• 提取相关记录
• 应用研究和分析

SEC503.4：构建零日威胁检测系统

第 4 节根据前三节获得的知识深入研究了现代和未来的入侵检测系统。通过结合学生迄今为止学到的所有知识，学生现在可以通过使用 Zeek（或 Corelight）进行高级行为检测，设计出远优于 Snort/FirePower/Suricata 和下一代防火墙的威胁检测功能。

网络架构

• 为流量收集而对网络进行检测
• 网络监控和威胁检测部署策略
• 用于捕获流量的硬件

大规模网络监控简介

• 网络监控工具的功能
• 分析师在检测中的角色
• 分析流程

Zeek

• Zeek 简介
• Zeek 操作模式
• Zeek 输出日志及其使用方法
• 实用威胁分析和威胁建模
• Zeek 脚本
• 使用 Zeek 监控和关联相关行为

IDS/IPS 逃避理论

• 不同协议层逃避的理论和含义
• 逃避的采样
• 基于目标的检测的必要性
• 零日监控逃避

SEC503.5：大规模威胁检测、取证和分析

本节的重点是动手练习，而不是正式指导。本节涵盖三个主要领域，首先是使用 NetFlow 和 IPFIX 进行数据驱动的大规模分析和收集。凭借课程第一部分所获得的协议背景知识，NetFlow 可用于在云和传统基础设施上执行威胁搜寻。在学习了基础知识后，学生将使用和构建自定义 NetFlow 查询进行更高级的分析和威胁检测。第二个领域介绍流量分析，延续大规模分析的主题。课程介绍了用于零日威胁搜寻的各种工具和技术，之后学生有机会将它们付诸实践。本课程还将介绍人工智能和机器学习在检测异常方面的前沿应用。本部分的最后一个领域涉及网络取证和重建事件。每位学生将使用他们在课程中学到的工具和技术处理三个详细的动手事件。

使用网络流记录

• NetFlow 和 IPFIX 元数据分析
• 使用 SiLK 查找感兴趣的事件
• 通过 NetFlow 数据识别横向移动
• 构建自定义 NetFlow 查询

威胁搜寻和可视化

• 在网络中以企业规模执行网络威胁搜寻的各种方法
• 涉及可视化网络行为以识别异常的方法的练习
• 应用数据科学来简化安全操作并执行威胁搜寻
• 使用基于 AI 的系统进行实验以识别受保护网络上的网络协议异常

网络取证分析简介

• 网络取证分析理论
• 利用阶段
• 数据驱动分析与警报驱动分析
• 假设驱动可视化

SEC503.6：高级网络监控和威胁检测顶点

本课程以基于服务器的动手网络监控和威胁检测顶点课程结束，既具有挑战性又令人愉快。在本课程中，学生以个人或团队形式竞争，使用他们学到的工具和理论回答各种问题。基于六个部分的真实世界数据，挑战涉及调查时间敏感事件。在此“随行”活动中，学生根据专业分析师团队进行的相同数据分析回答问题。

底线

通过获得 GIAC 入侵分析师认证，从业者可以展示他们的网络和主机监控、流量分析和入侵检测知识。通过 GIAC GCIA 认证，您可以配置和监控入侵检测系统并读取、解释和分析网络流量和日志文件。

GCIA 认证现已推出。如果您正在寻找代理考试中心，那么您来对地方了！CBT 代理团队将帮助您在第一次尝试时通过考试。请单击下面的聊天按钮与我们的一位顾问讨论考试。