前言
OSDA也就是SOC-200(OffSec Foundational Security Operations and Defensive Analysis),是Offsec推出的一个面向SOC分析师的蓝队认证,更侧重于取证方面。
OSDA是教学使用ELK,这相对来讲稍有点老旧,真实的环境中也基本不会使用ELK了,重点还是教学一些思路上的东西。
注意事项
OSDA考试是24小时,同样需要提交考试报告。考试会给一个控制面板,那里可以手动控制所进行的步骤,但一旦进行到了下一步,那么就不可以回退了,除非重置整个环境,但重置的时间很长,所以建议在进行相对应的步骤的时候,可以记录一下开始的时间,这样后续也可以通过筛选时间来回顾步骤内容。
考试不允许使用chatgpt之类的辅助工具,总共10个阶段,每个阶段满分10分,官方给出的通过分数是75分,如果有哪个阶段没有发现所有情况,那么会视发现的情况给分。
备考
官方教材相对来讲已经很详细了,提供给练习的Lab也足以用来备考。
教材的大部分会讲解各种攻击手法与权限维持的内容,后面就会讲解如何利用ELK去发现这些攻击行为,以及告警规则的编写。
Challenge总共有13个,由简到难,每个Challenge都有好几个阶段,通过手动开启来触发日志生成,Challenge没有flag,这就让人有点把握不住,不清楚是否找到了所有的内容,只能通过筛选来缩小查找的范围。
官方还提供了有专门的Challenge的讲解视频,如果有哪里是把握不住的,可以看看,这个貌似是直播录屏的内容,时间很长。
在官方的Discord频道也有提供相对的提示,在某个阶段,如果认为自己找全了,或者不确定的地方,可以看看官方给的提示。
摆烂了许久以后,我才开始备考,前面的讲解攻击手法那些我就没有看,主要是看了后面的ELK使用和告警规则编写。
考试
流程还是老样子,考试总共有10个阶段,给了一些预置的规则,在进行某一阶段后,可以先看看预置的告警,适当的缩小查找范围。
考试时间是上午的十点开始,到晚上的八点多做完了,感觉并没有找全,但大概差不多,然后就是结束考试提交报告。
报告倒没怎么写文字类的东西,全都是日志截图,适当的配合一点文字说明。
考试的时候最好还是记录一下每个阶段开始的时间,不然到时候想回头再看看有没有遗漏就很麻烦了,日志太多根本找不到,重置一次所花费的时间也需要很久,而且重置以后也同样需要一个阶段一个阶段的走一遍,不存在可以跳阶段的情况。
结语
这一次的考试结果出的是真慢,我在8月24号晚上提交的报告,直到9月1号晚上才出结果。