# HTB 认证防御安全分析师 (HTB CDSA)
HTB 认证防御安全分析师 (HTB CDSA) 是一项实践性很强的认证,旨在评估考生的安全分析、SOC 操作和事件处理技能。 HTB 认证防御安全分析师 (HTB CDSA) 认证持有者将具备安全分析、SOC 操作和事件处理领域的中级技术能力。他们将能够发现安全事件并确定仅通过查看可用数据 / 证据可能无法立即发现的检测途径。他们还擅长跳出框框思考,将不同的数据 / 证据关联起来,并不断地调整以确定事件的最大影响。他们将带来的另一项技能是为不同受众量身定制可操作的安全事件报告。
# 目标受众
- 入门级安全分析师
- 入门级 SOC 分析师
- 入门级事件处理程序
- 入门级取证分析师
- 渗透测试员
- 信息技术管理员
- 信息技术安全人员
# 课程大纲
# SOC 分析师的职位角色路径
# 事件处理流程
随着攻击的不断发展和成功的妥协每天都在发生,安全事件处理已成为每个组织防御策略的重要组成部分。在本模块中,我们将回顾处理事件的过程,从检测可疑事件的早期阶段,到确认妥协并对其做出响应。
# 安全监控和 SIEM 基础知识
本模块提供了安全信息和事件管理 (SIEM) 以及 Elastic Stack 的简洁而全面的概述。它揭秘了安全运营中心 (SOC) 的基本工作原理,探讨了 MITRE ATT&CK 框架在 SOC 中的应用,并介绍了 SIEM (KQL) 查询开发。学生将重点关注实践技能,学习如何使用 Elastic Stack 开发 SIEM 用例和可视化。
# Windows 事件日志和查找邪恶
本模块涵盖了 Windows 事件日志的探索及其在发现可疑活动方面的重要性。在整个课程中,我们深入剖析 Windows 事件日志,并重点介绍包含最有价值的调查信息的日志。该模块还侧重于利用 Sysmon 和事件日志来检测和分析恶意行为。此外,我们深入研究了 Windows 事件跟踪 (ETW),解释其架构和组件,并提供基于 ETW 的检测示例。为了简化分析过程,我们引入了功能强大的 Get-WinEvent cmdlet。
# 威胁追踪简介和 Elastic 追踪
该模块最初为理解威胁狩猎奠定了基础,从其基本定义到威胁狩猎团队的结构。该模块还深入研究了威胁搜寻过程,强调了威胁搜寻、风险评估和事件处理之间的相互关系。此外,该模块阐明了网络威胁情报(CTI)的基础知识。它扩展了不同类型的威胁情报,并提供了有效解释威胁情报报告的指导。最后,该模块将理论付诸实践,展示如何使用 Elastic 堆栈进行威胁搜寻。这个实践部分使用现实世界的日志为学习者提供实践经验。
# 了解日志源并使用 Splunk 进行调查
本模块全面介绍 Splunk,重点介绍其架构以及有效检测相关 SPL(搜索处理语言)搜索的创建。我们将学习使用 Splunk 作为 SIEM 工具进行调查,并开发 TTP 驱动和分析驱动的 SPL 搜索,以增强威胁检测和响应。通过实践练习,我们将学习识别和理解 Splunk 中摄取的数据和可用字段。我们还将获得利用 Splunk 强大功能进行安全监控和事件调查的实践经验。
# Windows 攻击与防御
在过去 20 多年里,Microsoft Active Directory (AD) 一直是领先的企业域管理套件,提供身份和访问管理、集中域管理、身份验证等。这些年来,我们的应用程序和数据与 AD 的集成度越高,我们就越容易受到大规模损害。在本模块中,我们将介绍针对 Active Directory 环境的最常被滥用和最有效的攻击,这些攻击允许威胁参与者除了横向移动之外还执行水平和垂直权限升级。该模块的核心目标之一是展示针对所涵盖的 Active Directory 攻击的预防和检测方法。
# 网络流量分析简介
安全团队使用网络流量分析来监控网络活动并查找可能表明安全和操作问题的异常情况。攻击性安全从业人员可以使用网络流量分析来搜索敏感数据,例如凭据、隐藏的应用程序、可访问的网段或 “在线” 的其他潜在敏感信息。网络流量分析对于攻击者和防御者都有很多用途。
# 中间网络流量分析
通过网络流量分析,该模块提高了检测链路层攻击(例如 ARP 异常和恶意接入点)、识别网络异常(例如 IP 欺骗和 TCP 握手异常)以及发现从基于 Web 的漏洞到特殊 DNS 活动的应用层威胁的技能。
# 使用 IDS/IPS
本模块深入探讨 Suricata、Snort 和 Zeek,涵盖规则开发和入侵检测。我们将指导您完成基于签名和基于分析的规则开发,您将学习如何处理加密流量。该模块包含大量实践示例,重点关注流行恶意软件的检测,例如 PowerShell Empire、Covenant、Sliver、Cerber、Dridex、Ursnif 和 Patchwork。我们还深入研究 DNS 渗透、TLS/HTTP 渗透、PsExec 横向移动和通过 IDS/IPS 的信标等攻击技术。
# 恶意软件分析简介
本模块提供对恶意软件分析的探索,特别针对基于 Windows 的威胁。该模块涵盖利用 Linux 和 Windows 工具进行静态分析、恶意软件解包、动态分析(包括恶意软件流量分析)、代码分析逆向工程以及使用 x64dbg 进行调试。分析了 WannaCry、DoomJuice、Brbbot、Dharma 和 Meterpreter 等真实恶意软件示例,以提供实践经验。
# JavaScript 反混淆
本模块将引导您逐步了解 JavaScript 反混淆的基础知识,直到您可以对基本 JavaScript 代码进行反混淆并了解其用途。
# 面向 SOC 分析师的 YARA 和 Sigma
Hack The Box Academy 模块介绍了如何手动和自动创建 YARA 规则,并应用它们来搜寻磁盘、实时进程、内存和在线数据库上的威胁。然后,该模块切换到 Sigma 规则,涵盖如何构建 Sigma 规则、使用 “sigmac” 将其转换为 SIEM 查询,以及在事件日志和 SIEM 解决方案中寻找威胁。这一切都需要亲自动手,使用现实世界的恶意软件和技术。
# 数字取证简介
通过 Hack The Box Academy 的 “数字取证简介” 模块深入了解 Windows 数字取证。掌握核心取证概念和工具,例如 FTK Imager、KAPE、Velociraptor 和 Volatility。深入研究内存取证、磁盘映像分析和快速分类程序。学习从 MFT、USN 日志和 Windows 事件日志构建时间线,同时实践 MFT、USN 日志、注册表配置单元、预取文件、ShimCache、Amcache、BAM 和 SRUM 数据等关键工件。
# 使用 Splunk 检测 Windows 攻击
Hack The Box Academy 模块重点关注针对 Windows 和 Active Directory 的攻击。该培训利用 Splunk 作为调查的基石,将为参与者提供专业知识,利用 Windows 事件日志和 Zeek 网络日志熟练地识别基于 Windows 的威胁。此外,参与者还将受益于与所讨论的 Windows 和 Active Directory 攻击相关的实际 PCAP 文件,从而增强他们对各自攻击模式和技术的理解。
# 安全事件报告
Hack The Box Academy 模块旨在提供全面的理解,确保参与者能够以最准确和专业的方式擅长识别、分类和记录安全事件。该模块精心分解了可靠的事件报告的要素,然后向参与者提供了真实的事件报告,为所讨论的概念的应用提供了实用的见解。
# HTB CDSA – 主要差异化因素
下面列出了 HTB 认证防御安全分析师 (HTB CDSA) 与标准认证的区别:
持续评估 - 要获得开始考试流程的资格,必须首先 100% 完成 “SOC 分析师” 工作角色路径的所有模块。该路径中的每个模块最后都有自己的实践技能评估,学生必须完成该评估以证明他们对所呈现主题的理解。未提供技能评估练习的答案。评估不仅在考试期间,而且在整个旅程中进行!
实践和真实考试环境 - HTB 认证防御安全分析师 (HTB CDSA) 考生将需要在多个真实世界和异构网络上执行实际安全分析、SOC 操作和事件处理活动。 HTB 认证不基于也不包含多项选择题!
跳出框框思考和数据关联 - HTB 认证防御安全分析师 (HTB CDSA) 考生将需要跳出框框思考,并将不同的数据 / 证据关联起来,以实现考试目标。就像在现实世界中的参与一样,创造力和深入的知识对于取得成功的结果是必要的。
商业级报告要求 - 成功完成所有安全分析、SOC 操作和事件处理活动不足以获得 HTB 认证防御安全分析师 (HTB CDSA) 认证。考生还需要评估受保护的基础设施暴露的风险,并撰写商业级安全事件报告作为评估的一部分。 HTB 认证防御安全分析师 (HTB CDSA) 候选人必须证明他们是市场就绪且以客户为中心的专业人士。
由 Pwnbox 提供支持的无缝体验 - 整个考试和认证过程可以通过考生的浏览器从开始到结束进行。所有安全分析、SOC 操作和事件处理活动都可以通过提供的浏览器内 Pwnbox 执行。没有基础设施或工具要求。
# 知识领域
HTB 认证防御安全分析师 (HTB CDSA) 认证评估考生在以下方面的知识:
- SOC 流程和方法
- SIEM 运营(ELK/Splunk)
- 战术分析
- 日志分析
- 威胁追踪
- 活动目录攻击分析
- 网络流量分析(包括 IDS/IPS)
- 恶意软件分析
- DFIR 操作
