في هذه المقالة راح اجاوب على اكثر الأسئلة الي وصلتني عن اختبار شهادة eCTHPv2
- ماهي شهادة الـeCTHPv2 ؟
- تقسيم الكورس
- هل الدورة تكفي؟ وكيف أتجهز للإختبار؟
- عن الاختبار وتكنيكات الحل
- تجربتي الشخصية
- نصائح للاختبار
- مصادر خارجية تساعدك في إجتياز الاختبار
- ماهي شهادة الـeCTHPv2 ؟
أو Threat Hunting Professional هي شهادة تساعدك على تعلم مهارة اصطياد المخاطر والتهديدات أي بمعنى تحاول اصطياد الهجوم في مختلف مراحل الـ “Cyber Kill Chain”سواء على الاجهزة “Endpoint” او على الشبكات “Network” عموما أو حتى على “Memory Dump” عن طريق استخدام بعض أدوات الحماية مثل “Siem solutions” للتعامل مع الـ “Logs” والـ “Volatility” للتعامل مع الـ “Memory Dump” وغيرها.
خلال رحلتك مع الدورة الخاصة بالشهادة راح تساعدك بشكل كبير على بناء عقلية دفاعية تفهم كيف تصيد التكنيكات بالعامية “تعرف تمسك مربط الفرس” من خلال دراستك لعدد كبير من الهجمات والتكنيكات وفهم طريقة اصطيادها مثل (WMI Persistence, Empire, DNS exfiltration, DCSync) وغيرها الكثير
- تقسيم الكورس
الكورس مقسم الى 3 أقسام رئيسية :-
- Introduction to threat hunting
هذا القسم راح يعطيك تصور واضح وصورة عامة عن الـ “TH” ومراحله بالإضافة إلى المراحل المتقدمة ما بعد اكتشاف التهديد وما الى ذلك, ثم يأخذك في رحلة لأهم المصطلحات الي راح تواجهك بكثرة في عالم الـ “TH”, وايضا بيتكلم عن “IOCs” وكيف ممكن تكتشفها
- Threat hunting: Hunting the network & network analysis
مثل ماهو موضح في الاسم في هذا القسم راح تتعلم كيف تصيد التهديدات في الشبكات من خلال عملية مراقبة الشبكات واهم العوامل المثيرة للاشتباه وكل عامل مقسم بناء على نوع البروتوكول وذلك باستخدام مختلف الأدوات مثل “Wireshark” و “Network Miner” و “RSA NetWiness Investigator” والجزء الأكثر متعة بالنسبة لي في هذا القسم هو جزء “Hunting Web Shells” حيث يشرح أشهر الطرق لرفع الـ”Web shell” وطرق اكتشافها
- Threat hunting: hunting the endpint & endpoint Analysis
يعتبر هذا القسم الادسم والأهم في الدورة حيث يتناول هذا القسم 3 جزئية مهمة: –
1- اصطياد الـ “Malware”
كيفية اصطياد الـ”Malware” في الانظمة وأهم العوامل لإكتشافه عن طريق عدة أدوات بالاضافة الى تحليل الـ “Memory Dump” عن طريق أداة الـ “Volatility” وصيد الـ “Malware”
2- الـ Siem Solutions والـ Logs والـ Event IDs
في هذا الجزء ستتعرف على ماهية الـ “Siem Solutions” عن قرب وبالتفصيل وسيكون الشرح متركز على نوعين من الـ “Siem Solutions” وهما “Splunk” و “ELK” بالاضافة الى عدة “Log Sources” و “Event IDs” و سيساعدك هذا القسم على التعامل معها ومعرفة الفرق بينها وأنا انصح عدم الاكتفاء بهذا القسم بل أيضا دراسة المصادر الخارجية والتدرب على هذا القسم بشكل أكبر من الموجود بالدورة
3- Hunting With PowerShell
بالنسبة إلى هذه الجزئية ستتناول أهم الهجمات والتكنيكات باستخدام الـ “PowerShell” و كيفية اصطيادها وفك تشفيرها كذلك
- هل الدورة تكفي؟ وكيف أتجهز للإختبار؟
بالنسبة الى نقطة هل الدورة تكفي فإجابتي “نعم تكفي” اذا ما فهمت اللابات بشكل جيد واعدتها مرة اخرى اذا تطلب الامر ولكن من الأفضل وهذا ما فعلته انا للتجهيز للاختبار مارست وطبقت ما تعلمته عن طريق بعض التحديات الخارجية “أضفتها في المصادر بأخر المقالة” للاعتياد على الأدوات واكتساب ثقة أكبر للدخول للاختبار بكل اريحية
- عن الاختبار وتكنيكات الحل
الاختبار يعتبر “متوسط” ومع التحضير الجيد ستستمتع جدا به والاختبار عبارة عن 4 أيام يومين للتحليل ويومين لكتابة المقال بس وهي للأمانة كافية ووافية, الإختبارات من هذا النوع لها تكنيكين للحل: –
1- تحلل وتأخذ ملاحظات وصور للشاشة على جنب وبعد اول يومين تبدأ تربط الملاحظات والصور ببعض وتكوّن تقريرك “أنصح باستخدامها في حال انضغطت في الوقت”
2- تحلل وتكتب التقرير بشكل متزامن “هذه منهجيتي في هذا الإختبار”
- تجربتي الشخصية
عن نفسي في بداية الاختبار وتحديدا اول 3 ساعات كنت فقط أقرأ وأبحث وأفهم لم أبدا بالحل بعد “حسيت بضغط وشوية توتر” اخذت بريك صغير عشان أستعيد تركيزي “للأمانه رحت تغديت أتوقع أفضل طريقة لتخفيف الضغط😂” وبعدها بدأت وبقوة في الاختبار حليت تقريبا 4\3 الاختبار ما أخفيكم ارتحت وحسيت الاختبار في جيبي ورحت اتفرج مسلسل والاختبار ما زال قائم 😂, الحمدلله بسبب عملي بالتزامن مع وقت الاختبار في مركز عمليات SOC في فترة التدريب الصيفي بشركة “Security Matterz” كان الاختبار شيء يشبه ما أشاهده وأتعامل معاه كل يوم بالتدريب فكان سهل ولكن لا تعتمد على نظرتي فتدريبي ساعدني جداً وكان وقت ممتاز جداً للإختبار, ختامًا انهيت الاختبار في أول 48 ساعة ومع إغلاق اللابات سلمت الإختبار ولله الحمد.
- نصائح للاختبار
هذه مجموعة من النصائح العملية المجربة الي راح تساعدك كثير ان شاء الله في اجتياز الاختبار: –
نصيحة مهمة جداً “خذ راحتك في الاختبار محد راح يعطيك جائزة اذا خلصت في ساعة ولا في 4 أيام فلا تستعجل وخذ وقتك ولا تقارن تجربتك بتجربة أحد لكل شخص تجربته الخاصة”
1- حدد يوم للإختبار ولا تترك الأمر مفتوح حتى لا تطول مدة المذاكرة بلا معنى
2- تأكد قبل تدخل الاختبار أنك نايم بشكل جيد
3- خلي الورقة والقلم رفقائك خلال الاختبار وسجل ملاحظاتك أول بأول
4- رتب الأحداث حسب الوقت عشان توضح لك الرؤية
5- أنصح بالبحث عن التكنيكات في Mitre Attack
- مصادر خارجية تساعدك في اجتياز الاختبار
هذه بعض المصادر التي ستساعدك في إجتياز الاختبار بإذن الله تعالى عن طريق ممارسة ما تعلمته في الدورة
1- تحدي “DumpMe” المقدم من قبل CyberDefender
2- تحدي “Elastic-Case” المقدم من قبل CyberDefender
3- مجموعة تحديات “Boss Of The SOC” المقدمة من قبل Splunk