L’esame di certificazione Cisco SECOPS – Implementing Cisco Cybersecurity Operations – è associato alla certificazione Cisco CCNA Cyber Ops. L’esame SECOPS verifica il possesso delle conoscenze e competenze necessarie per gestire compiti e responsabilità di un security analyst in un SOC, tra cui l’analisi delle minacce degli endpoint, network intrusion analysis, incident handling e reponse, data ed event analysis.
I candidati possono prepararsi per l’esame SECOPS sostenendo il corso Cisco CCNA Cyber Ops: contenuti, descrizione della figura professionale e agevolazioni al link.
Argomenti dell’esame SECOPS
L’esame Cisco SECOPS prevede la conoscenza delle seguenti tematiche:
Endpoint Threat Analysis and Computer Forensics
- Interpretare il report di strumenti di malware analysis come AMP Threat Grid e Cuckoo Sandbox
- Descrivere i seguenti termini, definiti nel sistema di valutazione delle vulnerabilità CVSS 3.0:Attack vector, Attack complexity, Privileges required, User interaction, Scope
- Descrivere i seguenti termini come vengono definiti nel sistema di valutazione delle vulnerabilità CVSS 3.0: Confidentiality, Integrity, Availability
- Definire i seguenti termini relativi al file system in ambito Microsoft Windows: FAT32, NTFS, Alternative data streams, MACE, EFI, Free space, Timestamps
- Definire i seguenti termini relativi al file system in ambito Linux: EXT4, Journaling, MBR, Swap file system, MAC
- Comparare e distinguere i seguenti tre tipi di prova: Best evidence, Corroborative evidence, Indirect evidence
- Comparare e distinguere i seguenti due tipi di imamagini: Altered disk image, Unaltered disk image
- Descrivere il ruolo dell’attribution in un’indagine di sicurezza: Assets, Threat actor
Network Intrusion Analysis
- Interpretare espressioni regolari di base
- Descrivere i campi delle testate dei seguenti protocolli utili nell’analisi delle intrusioni: Ethernet frame, IPv4, IPv6, TCP, UDP, ICMP, HTTP
- Identificare in un record Neflow v5 gli elementi connessi alla sicurezza
- Identificare i seguenti elementi chiave di intrusione da un file PCAP: Source address, Destination address, Source port, Destination port, Protocols, Payloads
- Estrarre file da un flusso TCP a partire da un file PCAP file and Wireshark
- Evidenziare elementi artefatti in un evento per individuare la presenza di un allarme: IP address (source / destination), Client and Server Port Identity, Process (file or registry), System (API calls), Hashes, URI / URL
- Associare dati eventi alle seguenti tecnologie sorgente: NetFlow, IDS / IP, Firewall, Network application control, Proxy logs, Antivirus
- Comparare e distinguere presenza e assenza di impatto dei seguenti fattori: False Positive, False Negative, True Positive, True Negative
- Analizzare un dato evento di intrusione e un host profile per calcolare l’impact flag generata dal Firepower Management Center (FMC)
Incident response
- Descrivere gli elementi che dovrebbero essere inclusi in un incident response plan come descritto dal NIST.SP800-61 r2
- Mappare tali elementi nell’analisi basata sul NIST SP800-61 r2: Preparation, Detection and analysis, Containment, eradication, and recovery, Post-incident analysis (lessons learned)
- Individuare gli organization stakeholders rispetto alle categorie del NIST IR (C2M2, NIST.SP800-61 r2): Preparation, Detection and analysis, Containment, eradication, and recovery, Post-incident analysis (lessons learned)
- Descrivere gli obiettivi dei seguenti gruppi del Computer Secuirty Incident Response Team: Internal CSIRT, National CSIRT, Coordination centers, Analysis centers, Vendor teams, Incident response providers (MSSP)
- Identificare i seguenti elementi utilizzati per il network profiling: Total throughput, Session duration, Ports used, Critical asset address space
- Identificare i seguenti elementi utilizzati per il server profiling: Listening ports, Logged in users/service accounts, Running processes, Running tasks, Applications
- Mappare le tipologie di dati rispetto ai seguenti compliance frameworks: PCI, HIPPA (Health Insurance Portability e Accountability Act), SOX
- Identificare gli elementi dei dati che occorre proteggere in relazione a uno specifico standard (PCI-DSS)
Data and event analysis
- Descrivere il processo di data normalization
- Interpretare valori di dati comuni in un formato universale
- Descivere correlazioni 5-tuple
- Descrivere l’approccio a 5-tuple per isolare un host compromesso all’interno di un set di log
- Descrivere il metodo di analisi retrospettiva per individuare file pericolosi, partendo da un file di report
- Identificare host potenzialmente compromessi all’interno di una rete sulla base di una report di threat analysis contenente indirizzi IP e domini pericolosi
- Correlare logs DNA e http per individuare un threat actor
- Correlare dati relativi a DNS, HTTP e threat intelligence
- Identificare una regola per distinguere gli allarmi più significativi in un set di eventi da diverse sorgenti di dati utilizzando la console di firepower management
- Confrontare e distinguere i metodi di analisi deterministica e probabilistica
Incident Handling
- Classificare gli eventi di intrusion secondo le seguenti categorie come definite dal modello Cyber Kill Chain Model: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and control, Action on objectives
- Applicare ad un evento il processo di gestione degli incidenti NIST.SP800-61 r2.
- Definire le seguenti attività in base alla loro relazione con il processo di gestione dell’incidente: Identification, Scoping, Containment, Remediation, Lesson-based hardening, Reporting
- Descrivere i seguenti concetti come vengono documentati all’interno del NIST SP800-86: Evidence collection order, Data integrity, Data preservation, Volatile data collection
- Applicare la categorizzazione VERIS a un dato incidente
Struttura dell’esame di certificazione
L’esame SECOPS ha una durata di 90 minuti (120 per chi non è di madre-lingua inglese) con 55-60 domande.
Per vedersi riconosciuta la certificazione Cisco CCNA Cybersecurity Operations, il candidato deve sostenere con successo l’esame Cisco SECFND e l’esame SECOPS .
Scopri le altre certificazioni Cisco ufficiali al link