如果您对信息安全事业感兴趣,GIAC GCIA 认证计划将是您最重要的课程。 GCIA 认证课程被认为是最具挑战性但也是最有价值的课程。
如果您想学习如何执行有效的威胁搜寻以在公开之前检测您网络上的零日活动,那么没有比这更好的课程了。想要了解开箱即用工具生成的网络监控警报的人不应参加 GCIA 认证。
但是,GCIA 认证适用于那些希望深入了解当今网络中发生的事情并怀疑他们的工具目前无法报告的严重问题的人。
什么是 GIAC 认证入侵分析师 (GCIA) 认证?
GIAC 认证入侵分析师 (GCIA) 认证是一种供应商中立的证书,旨在验证从业者在入侵检测和分析方面的知识和技能。通过 GIAC GCIA 认证,您将能够配置和监控入侵检测系统,读取、解释和分析网络流量和日志文件,并了解网络上发生的事情。
为了获得 GIAC GCIA 认证,您将需要通过涵盖各种考试目标的监考考试,例�如网络流量分析、签名创建、日志分析和事件处理。 GIAC GCIA 考试共有 106 道选择题。完成 GCIA 认证考试需要四个小时。为了通过 GCIA 考试,您需要至少 67% 的分数。
以下是 GCIA 考试涵盖的领域:
- 流量分析和应用协议基础
- 开源 IDS:Snort 和 Zeek
- 网络流量取证和监控
谁可以考GCIA认证?
- 负责入侵检测的从业者
- 系统分析师
- 安全分析师
- 网络工程师
- 网络管理员
- 动手安全经理
你将学习以下技能
- 分析您网站的流量以避免成为另一个头条新闻
- 如何识别网络监控工具无法识别的零日威胁
- 网络监控:如何放置、定制和调整它
- 如何对网络警报进行分类,尤其是在事件期间
- 通过重构事件来识别发生了什么、何时发生以及是谁干的
- 具有网络取证、检测和分析方面的实践经验
- TCP/IP 和常用应用协议来深入了解您的网络流量,使您能够区分正常流量和异常流量
- 监控基于签名的网络:优点和缺点
- 监控企业范围内自动关联的行为网络以及如何有效地使用它们
- 对网络活动进行有效的威胁建模
- 将威胁建模转化为零日威胁检测能力
- 分析传统网络、混合网络和云网络中的流数据以增强检测
## 你将能够
- 配置并运行 Snort 和 Suricata
- 创建和编写有效且高效的 Snort、Suricata 和 FirePOWER 规则。
- 配置并运行开源 Zeek 以提供混合流量分析框架。
- 在 Zeek 中创建自动威胁搜寻关联脚本。
- 了解 TCP/IP 组件层以识别正常和异常流量以进行威胁识别。
- 使用流量分析工具来识别妥协或活跃威胁的迹象。
- 执行网络取证以调查流量以识别 TTP 并发��现活动威胁。
- 从网络流量中提取文件和其他类型的内容以重建事件。
- 创建 BPF 过滤器以选择性地大规模检查特定流量特征。
- 使用 Scapy 制作数据包。
- 使用 NetFlow/IPFIX 工具查找网络行为异常和潜在威胁。
- 使用您的网络架构和硬件知识来自定义网络监控传感器的位置并嗅探线路外的流量。
GCIA 认证考试大纲
SEC503.1:网络监控与分析:第一部分
本节深入介绍 TCP/IP 协议栈,帮助您更好地监控和检测云或传统基础设施中的威胁。第一步称为“数据包作为第二语言”课程。为了识别威胁和识别 TTP,学生立即沉浸在低级数据包分析中,以收集零日攻击和其他攻击中使用的数据包。在本节中,学生将学习 TCP/IP 通信的基础知识、位、字节、二进制和十六进制的理论,以及每个字段的含义和预期行为。学生们学习使用 Wireshark 和 Tcpdump 等工具来分析流量。
TCP/IP 的概念
- 为什么有必要了解包头和数据?
- TCP/IP 通信模型
- 数据封装/解封装
- 位、字节、二进制和十六进制
Wireshark 简介
- 在 Wireshark 周围导航
- Wireshark 配置文件
- 检查 Wireshark 统计选项
- 流重组
- 查找数据包中的内容
网络访问/链路层:第 2 层
- 链路层介绍
- 寻址解析协议
- Layer 2攻击和防御
IP 层:第 3 层
- IPv4
- 理论和实践领域的考试
- 校验和及其重要性,尤其是对于网络监控和规避
- 分片:分片中涉及的 IP 报头字段、分片的组成、现代分片攻击
UNIX 命令行处理
- 高效处理数据包
- 解析和聚合数据以回答问题和研究网络
- 使用正则表达式进行更快的分析
SEC503.2:网络监控与分析:第二部分
本节总结了课程的“作为第二语言的数据包”部分,并为即将到来的更深入的讨论奠定了基础。学生将深入了解 TCP/IP 模型中使用的主要传输层协议,以及现代趋势如何影响它们的使用。在本课中,您将学习如何使用 Wireshark 和 TCPdump 分析您自己的流量。利用 Wireshark 显示过滤器和 Berkeley 数据包过滤器,重点是将大规模数据过滤为感兴趣的流量,以便检测传统和基于云的基础设施中的威胁。本节还介绍了对现代网络监控具有非常重要影响的现代创新,包括每个标头字段的含义和功能。
Wireshark 显示过滤器
- 检查 Wireshark 促进创建显示过滤器的多种方式中的一些
- 显示过滤器的组成
编写 BPF 过滤器
- BPF 的普遍存在和过滤器的实用性
- BPF过滤器的格式
- 使用位掩码
TCP
- 理论和实践领域的考试
- 数据包剖析
- 校验和
- 正常和异常的 TCP 刺激和反应
- TCP 重组对 IDS/IPS 的重要性
UDP协议
- 理论和实践领域的考试
- UDP 刺激和响应
ICMP
- 理论和实践领域的考试
- 何时不应发送 ICMP 消息
- 用于测绘和侦察
- 正常 ICMP
- 恶意 ICMP
IP6
- 基础知识
- 对 IP6 的改进
- 多播协议以及 IP6 如何利用它们
- IP6 威胁
实际应用:研究网络
- 谁是最会说话的人?
- 人们连接到什么?
- 我们的网络上运行着哪些服务?
- 存在什么样的东西向流量?
SEC503.3:基于签名的威胁检测和响应
本课程的第三部分以前两部分为基础,着眼于应用层协议。利用这些知识,您将学习如何发现云、端点、�混合网络和传统基础设施中的威胁。学生还将了解功能强大的基于 Python 的数据包制作工具 Scapy,该工具允许学生操作、创建、读取和写入数据包。您可以使用 Scapy 制作数据包来测试监控工具或防火墙的检测能力。特别是,当新公布的漏洞被添加到用户创建的网络监控规则时,这一点尤为重要。
斯皮皮
- 使用 Scapy 制作和分析数据包
- 将数据包写入网络或 Pcap 文件
- 从网络或 Pcap 文件中读取数据包
- 实用的 Scapy 用于网络分析和网络防御者
高级 Wireshark
- 导出网络和其他支持的对象
- 提取任意应用程序内容
- 事件的 Wireshark 调查
- 用于分析 SMB 协议活动的实用 Wireshark
- 鲨鱼
Snort/Suricata 简介
- 配置工具和基本日志记录
- 编写简单的规则
- 使用常用选项
有效的 Snort/Suricata
- 有关为超大型网络编写真正有效的规则的更多高级内容
- 了解如何编写不易绕过或规避的灵活规则
- Snort/Suricata“选择你自己的冒险”方法来进行所有实践活动
- 逐步检查不断发展的漏洞,逐步改进规则以检测所有形式的攻击
- Snort/Suricata在应用层协议中的应用
域名系统
- DNS架构和功能
- DNSSEC
- DNS 的现代进步,例如 EDNS(扩展 DNS)
- 恶意 DNS,包括缓存中毒
- 创建规则来识别 DNS 威胁活动
微软协议
- 中小型企业/CIFS
- 检测挑战
- 实用的 Wireshark 应用程序
现代 HTTP
- 协议格式
- 该协议为何以及如何发展
- 检测挑战
- HTTP2 和 HTTP3 的变化
如何研究协议
- 使用 QUIC 作为案例研究
- GQUIC 与 IETF QUIC 的比较
实际应用:识别感兴趣的流量
- 在大型数据包存储库中查找异常应用程序数据
- 提取相关记录
- 应用研究与分析
SEC503.4:构建零日威胁检测系统
第 4 部分基于从前三部分获得的知识深入研究现代和未来的入侵检测系统。通过结合学生迄今为止所学的一切,学生现在可以通过使用 Zeek(或 Corelight)进行高级行为检测来设计远优于 Snort/FirePower/Suricata 和下一代防火墙的威胁检测功能。
网络架构
- 检测网络以收集流量
- 网络监控和威胁检测部署策略
- 捕获流量的硬件
大规模网络监控简介
- 网络监控工具的功能
- 分析师在检测中的作用
- 分析流程
泽克
- Zeek 简介
- Zeek 操作模式
- Zeek 输出日志以及如何使用它们
- 实用威胁分析和威胁建模
- Zeek 脚本
- 使用 Zeek 监控和关联相关行为
IDS/IPS规避理论
- 不同协议层规避的理论和影响
- 逃税抽样
- 基于目标检测的必要性
- 零日监控规避
SEC503.5:大规模威胁检测、取证和分析
本节的重点是动手练习,而不是正式的指导。本节涵盖三个主要领域,首先是使用 NetFlow 和 IPFIX 进行数据驱动的大规模分析和收集。借助从课程第一部分获得的协议背景知识,NetFlow 可用于在云端和传统基础设施上执行威胁搜寻。学习完基础知识后,学生将继续使用和构建自定义 NetFlow 查询进行更高级的分析和威胁检测。第二个领域介绍了流量分析,延续了大规模分析的主题。介绍了零日威胁搜寻的各种工具和技术,之后学生有机会将它们付诸实践。该课程还将涵盖人工智能和机器学习在检测异常方面的前沿应用。本节的最后一个领域涉及网络取证和重建事件。每个学生将使用他们在整个课程中学到的工具和技术来完成三个详细的实践事件。
使用网络流量记录
- NetFlow 和 IPFIX 元数据分析
- 使用 SiLK 查找感兴趣的事件
- 通过 NetFlow 数据识别横向移动
- 构建自定义 NetFlow 查询
威胁搜寻和可视化
- 在网络中以企业规模执行网络威胁搜寻的各种方法
- 涉及可视化网络行为以识别异常的方法的练习
- 应用数据科学来简化安全操作和执行威胁搜寻
- 试验基于 AI 的系统来识别防御网络上的网络协议异常
网络取证分析简介
- 网络取证分析理论
- 开发阶段
- 数据驱动分析与警报驱动分析
- 假设驱动的可视化
SEC503.6:高级网络监控和威胁检测顶峰
本课程以动手实践的基于服务器的网络监控和威胁检测顶点结束,既具有挑战性又令人愉快。在本课程中,学生以个人或团队的形式竞争,使用他们学到的工具和理论来回答各种问题。基于六个部分的真实世界数据,挑战涉及调查一个时间敏感的事件。在这个“顺风顺水”活动中,学生根据专业分析师团队进行的相同数据分析回答问题。
底线
通过获得 GIAC 入侵分析师认证,从业者展示了他们的网络和主机监控、流量分析和入侵检测知识。通过 GIAC GCIA 认证,您可以配置和监控入侵检测系统,并读取、解释和分析网络流量和日志文件。
GCIA 认证现已推出。如果您正在寻找代理考试中心,那么您来对地方了! CBT 代理团队在这里帮助您在第一次尝试时通过考试。请单击下面的聊天按钮与我们的一位顾问讨论考试。
