蓝队认证OSDA进攻性安全防御分析师（SOC-200：基础安全运营和防御分析）

上周，我通过了进攻性安全防御分析师OSDA（SOC-200）的认证考试。与OffSec的惯用形式一样，又一次24小时实用考试。

这是由OffSec推出的专为安全运营中心(SOC)分析师和威胁猎手等工作角色而设计的实操防御性网络安全课程。

一句话：我认为这是一个非常棒的基础蓝色团队认证，可以确保学生能够通过SIEM识别、理解、跟踪和记录攻击者的TTPs。

官方介绍

通过基础安全运营的防御分析（SOC-200）学习网络安全防御的基础知识，该课程专为安全运营中心（SOC）分析师和威胁猎手等工作角色而设计。学习者获得SIEM的实践经验，识别和评估针对多种不同网络架构的各种实时端到端攻击。完成课程并通过考试的学习者将获得OffSec防御分析师（OSDA）认证，证明他们检测和评估安全事件的能力。

强烈建议任何有兴趣在蓝队运营中的人参加这门课程。对于想要了解检测策略的红队队员来说，这也是非常棒的。

OSDA涵盖了攻击者方法论、Windows端点日志记录和攻击（包括Sysmon）、Linux端点日志记录与攻击、网络攻击、AV规避，当然还有Active Directory主题，如枚举、横向移动和持久性。所有这些主题都是在基础水平上教授的，然后这个基础上建立了涵盖ELK SIEM的模块，将其结合在一起。

从这门课程中，我在日志记录、检测和SIEM方面有了更好的基础，也了解了蓝队队员如何检测我在红队使用的TTPs。

个人收益

识别端到端攻击链的通用方法（MITRE ATT&CK® 框架）

跨多个操作系统对受损系统进行指导性审计

使用 SIEM 识别和评估实时展开的攻击

组织收益

确保您的团队可以在漏洞被利用之前检测漏洞并消除威胁

加强组织的网络安全防御并保持安全态势

使用SOC-200挑战实验室学习如何实时查看日志和识别攻击者及其方法

以防护为目的，使用业界独有的实时网络攻击实验室框架来检测威胁

通过业界公认的认证展示高绩效的团队

更多OSDA相关内容