Esame di certificazione SECOPS

esame SECOPSL’esame di certificazione Cisco SECOPS – Implementing Cisco Cybersecurity Operations – è associato alla certificazione Cisco CCNA Cyber Ops. L’esame SECOPS verifica il possesso delle conoscenze e competenze necessarie per gestire compiti e responsabilità di un security analyst in un SOC, tra cui l’analisi delle minacce degli endpoint, network intrusion analysis, incident handling e reponse, data ed event analysis.

I candidati possono prepararsi per l’esame SECOPS sostenendo il corso Cisco CCNA Cyber Ops: contenuti, descrizione della figura professionale e agevolazioni al link.

 

Argomenti dell’esame SECOPS

L’esame Cisco SECOPS prevede la conoscenza delle seguenti tematiche:

 
Endpoint Threat Analysis and Computer Forensics

  • Interpretare il report di strumenti di malware analysis come AMP Threat Grid e Cuckoo Sandbox
  • Descrivere i seguenti termini, definiti nel sistema di valutazione delle vulnerabilità CVSS 3.0:Attack vector, Attack complexity, Privileges required, User interaction, Scope
  • Descrivere i seguenti termini come vengono definiti nel sistema di valutazione delle vulnerabilità CVSS 3.0: Confidentiality, Integrity, Availability
  • Definire i seguenti termini relativi al file system in ambito Microsoft Windows: FAT32, NTFS, Alternative data streams, MACE, EFI, Free space, Timestamps
  • Definire i seguenti termini relativi al file system in ambito Linux: EXT4, Journaling, MBR, Swap file system,  MAC
  • Comparare e distinguere i seguenti tre tipi di prova: Best evidence, Corroborative evidence, Indirect evidence
  • Comparare e distinguere i seguenti due tipi di imamagini: Altered disk image, Unaltered disk image
  • Descrivere il ruolo dell’attribution in un’indagine di sicurezza: Assets, Threat actor

 
Network Intrusion Analysis

  • Interpretare espressioni regolari di base
  • Descrivere i campi delle testate dei seguenti protocolli utili nell’analisi delle intrusioni:  Ethernet frame, IPv4, IPv6, TCP, UDP, ICMP, HTTP
  • Identificare in un record Neflow v5 gli elementi connessi alla sicurezza
  • Identificare i seguenti elementi chiave di intrusione da un file PCAP: Source address, Destination address, Source port, Destination port, Protocols, Payloads
  • Estrarre file da un flusso TCP a partire da un file PCAP file and Wireshark
  • Evidenziare elementi artefatti in un evento per individuare la presenza di un allarme: IP address (source / destination), Client and Server Port Identity, Process (file or registry), System (API calls), Hashes, URI / URL
  • Associare dati eventi alle seguenti tecnologie sorgente: NetFlow, IDS / IP, Firewall, Network application control, Proxy logs, Antivirus
  • Comparare e distinguere presenza e assenza di impatto dei seguenti fattori: False Positive, False Negative, True Positive, True Negative
  • Analizzare un dato evento di intrusione e un host profile per calcolare l’impact flag generata dal Firepower Management Center (FMC)

 
Incident response

  • Descrivere gli elementi che dovrebbero essere inclusi in un incident response plan come descritto dal NIST.SP800-61 r2
  • Mappare tali elementi nell’analisi basata sul NIST SP800-61 r2: Preparation, Detection and analysis, Containment, eradication, and recovery, Post-incident analysis (lessons learned)
  • Individuare gli organization stakeholders rispetto alle categorie del NIST IR (C2M2,  NIST.SP800-61 r2): Preparation, Detection and analysis, Containment, eradication, and recovery, Post-incident analysis (lessons learned)
  • Descrivere gli obiettivi dei seguenti gruppi del Computer Secuirty Incident Response Team: Internal CSIRT, National CSIRT, Coordination centers, Analysis centers, Vendor teams, Incident response providers (MSSP)
  • Identificare i seguenti elementi utilizzati per il network profiling: Total throughput, Session duration, Ports used, Critical asset address space
  • Identificare i seguenti elementi utilizzati per il server profiling: Listening ports, Logged in users/service accounts, Running processes, Running tasks, Applications
  • Mappare le tipologie di dati rispetto ai seguenti compliance frameworks: PCI, HIPPA (Health Insurance Portability e  Accountability Act), SOX
  • Identificare gli elementi dei dati che occorre proteggere in relazione a uno specifico standard (PCI-DSS)

 
Data and event analysis

  • Descrivere il processo di data normalization
  • Interpretare valori di dati comuni in un formato universale
  • Descivere correlazioni 5-tuple
  • Descrivere l’approccio a 5-tuple per isolare un host compromesso all’interno di un set di log
  • Descrivere il metodo di analisi retrospettiva per individuare file pericolosi, partendo da un file di report
  • Identificare host potenzialmente compromessi all’interno di una rete sulla base di una report di threat analysis contenente indirizzi IP e domini pericolosi
  • Correlare logs DNA e http per individuare un threat actor
  • Correlare dati relativi a DNS, HTTP e threat intelligence
  • Identificare una regola per distinguere gli allarmi più significativi in un set di eventi da diverse sorgenti di dati utilizzando la console di firepower management
  • Confrontare e distinguere i metodi di analisi deterministica e probabilistica

 
Incident Handling

  • Classificare gli eventi di intrusion secondo le seguenti categorie come definite dal modello Cyber Kill Chain Model: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and control, Action on objectives
  • Applicare ad un evento il processo di gestione degli incidenti NIST.SP800-61 r2.
  • Definire le seguenti attività in base alla loro relazione con il processo di gestione dell’incidente: Identification, Scoping, Containment, Remediation, Lesson-based hardening, Reporting
  • Descrivere i seguenti concetti come vengono documentati all’interno del NIST SP800-86: Evidence collection order, Data integrity, Data preservation, Volatile data collection
  • Applicare la categorizzazione VERIS a un dato incidente

 

Struttura dell’esame di certificazione

L’esame SECOPS ha una durata di 90 minuti (120 per chi non è di madre-lingua inglese) con 55-60 domande.

Per vedersi riconosciuta la certificazione Cisco CCNA Cybersecurity Operations, il candidato deve sostenere con successo l’esame Cisco SECFND e l’esame SECOPS .

Scopri le altre certificazioni Cisco ufficiali al link
Esame SECOPS

Contatti

    I corsi e le certificazioni informatiche più richiesti

    Cisco CCNA

    Vai ai corsi

    Microsoft Azure

    Vai ai corsi

    VMware VCP-DCV

    Vai ai corsi

    Cisco CyberOps

    Vai ai corsi

    Check Point CCSA

    Vai ai corsi

    Palo Alto PCNSA

    Vai ai corsi

    Ethical Hacker CEH

    Vai ai corsi

    Cisco CCNP

    Vai ai corsi