Esame di certificazione SECOPS

esame SECOPSL’esame di certificazione Cisco SECOPS – Implementing Cisco Cybersecurity Operations – è associato alla certificazione Cisco CCNA Cyber Ops. L’esame SECOPS verifica il possesso delle conoscenze e competenze necessarie per gestire compiti e responsabilità di un security analyst in un SOC, tra cui l’analisi delle minacce degli endpoint, network intrusion analysis, incident handling e reponse, data ed event analysis.

I candidati possono prepararsi per l’esame SECOPS sostenendo il corso Cisco CCNA Cyber Ops: contenuti, descrizione della figura professionale e agevolazioni al link.

 

Argomenti dell’esame SECOPS

L’esame Cisco SECOPS prevede la conoscenza delle seguenti tematiche:

 
Endpoint Threat Analysis and Computer Forensics

  • Interpretare il report di strumenti di malware analysis come AMP Threat Grid e Cuckoo Sandbox
  • Descrivere i seguenti termini, definiti nel sistema di valutazione delle vulnerabilità CVSS 3.0:Attack vector, Attack complexity, Privileges required, User interaction, Scope
  • Descrivere i seguenti termini come vengono definiti nel sistema di valutazione delle vulnerabilità CVSS 3.0: Confidentiality, Integrity, Availability
  • Definire i seguenti termini relativi al file system in ambito Microsoft Windows: FAT32, NTFS, Alternative data streams, MACE, EFI, Free space, Timestamps
  • Definire i seguenti termini relativi al file system in ambito Linux: EXT4, Journaling, MBR, Swap file system,  MAC
  • Comparare e distinguere i seguenti tre tipi di prova: Best evidence, Corroborative evidence, Indirect evidence
  • Comparare e distinguere i seguenti due tipi di imamagini: Altered disk image, Unaltered disk image
  • Descrivere il ruolo dell’attribution in un’indagine di sicurezza: Assets, Threat actor

 
Network Intrusion Analysis

  • Interpretare espressioni regolari di base
  • Descrivere i campi delle testate dei seguenti protocolli utili nell’analisi delle intrusioni:  Ethernet frame, IPv4, IPv6, TCP, UDP, ICMP, HTTP
  • Identificare in un record Neflow v5 gli elementi connessi alla sicurezza
  • Identificare i seguenti elementi chiave di intrusione da un file PCAP: Source address, Destination address, Source port, Destination port, Protocols, Payloads
  • Estrarre file da un flusso TCP a partire da un file PCAP file and Wireshark
  • Evidenziare elementi artefatti in un evento per individuare la presenza di un allarme: IP address (source / destination), Client and Server Port Identity, Process (file or registry), System (API calls), Hashes, URI / URL
  • Associare dati eventi alle seguenti tecnologie sorgente: NetFlow, IDS / IP, Firewall, Network application control, Proxy logs, Antivirus
  • Comparare e distinguere presenza e assenza di impatto dei seguenti fattori: False Positive, False Negative, True Positive, True Negative
  • Analizzare un dato evento di intrusione e un host profile per calcolare l’impact flag generata dal Firepower Management Center (FMC)

 
Incident response

  • Descrivere gli elementi che dovrebbero essere inclusi in un incident response plan come descritto dal NIST.SP800-61 r2
  • Mappare tali elementi nell’analisi basata sul NIST SP800-61 r2: Preparation, Detection and analysis, Containment, eradication, and recovery, Post-incident analysis (lessons learned)
  • Individuare gli organization stakeholders rispetto alle categorie del NIST IR (C2M2,  NIST.SP800-61 r2): Preparation, Detection and analysis, Containment, eradication, and recovery, Post-incident analysis (lessons learned)
  • Descrivere gli obiettivi dei seguenti gruppi del Computer Secuirty Incident Response Team: Internal CSIRT, National CSIRT, Coordination centers, Analysis centers, Vendor teams, Incident response providers (MSSP)
  • Identificare i seguenti elementi utilizzati per il network profiling: Total throughput, Session duration, Ports used, Critical asset address space
  • Identificare i seguenti elementi utilizzati per il server profiling: Listening ports, Logged in users/service accounts, Running processes, Running tasks, Applications
  • Mappare le tipologie di dati rispetto ai seguenti compliance frameworks: PCI, HIPPA (Health Insurance Portability e  Accountability Act), SOX
  • Identificare gli elementi dei dati che occorre proteggere in relazione a uno specifico standard (PCI-DSS)

 
Data and event analysis

  • Descrivere il processo di data normalization
  • Interpretare valori di dati comuni in un formato universale
  • Descivere correlazioni 5-tuple
  • Descrivere l’approccio a 5-tuple per isolare un host compromesso all’interno di un set di log
  • Descrivere il metodo di analisi retrospettiva per individuare file pericolosi, partendo da un file di report
  • Identificare host potenzialmente compromessi all’interno di una rete sulla base di una report di threat analysis contenente indirizzi IP e domini pericolosi
  • Correlare logs DNA e http per individuare un threat actor
  • Correlare dati relativi a DNS, HTTP e threat intelligence
  • Identificare una regola per distinguere gli allarmi più significativi in un set di eventi da diverse sorgenti di dati utilizzando la console di firepower management
  • Confrontare e distinguere i metodi di analisi deterministica e probabilistica

 
Incident Handling

  • Classificare gli eventi di intrusion secondo le seguenti categorie come definite dal modello Cyber Kill Chain Model: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and control, Action on objectives
  • Applicare ad un evento il processo di gestione degli incidenti NIST.SP800-61 r2.
  • Definire le seguenti attività in base alla loro relazione con il processo di gestione dell’incidente: Identification, Scoping, Containment, Remediation, Lesson-based hardening, Reporting
  • Descrivere i seguenti concetti come vengono documentati all’interno del NIST SP800-86: Evidence collection order, Data integrity, Data preservation, Volatile data collection
  • Applicare la categorizzazione VERIS a un dato incidente

 

Struttura dell’esame di certificazione

L’esame SECOPS ha una durata di 90 minuti (120 per chi non è di madre-lingua inglese) con 55-60 domande.

Per vedersi riconosciuta la certificazione Cisco CCNA Cybersecurity Operations, il candidato deve sostenere con successo l’esame Cisco SECFND e l’esame SECOPS .

Scopri le altre certificazioni Cisco ufficiali al link
Esame SECOPS