-
اجتيار اختبار eCIRv2 v1.1
ولله الحمد اجتزت الامتحان بنقل تجربتي بشكل بسيط
الاختبار 60 سؤال ما بين MCQ وكتابة الإجابة مثل الفلاق خلال 10 ساعات
قبل تفتح اللاب بيجيك رابط لملفين يجب تطلع عليهم قبل تدخل الاب وهم
- Letter of Engagement = خطاب رسمي يحدد نطاق العمل والمسؤوليات والشروط بين الكلاينت وبينك كا MSSP SOC تعرف منه الماشين الي بتحقق فيها
- Lab Guidelines = تعليمات كيف تستخدم الاب وتوصل للـSIEM وفلتر وقت log analysis واماكن Tools و Evidence الي رح تستعلمها لحل الامتحان داخل الماشين
تفتح الاب يجيك اكسس على ماشين ويندوز وهذه منها تسوي investigation
على سيناريوهين 2 mahcines (ممكن اكثر في ماشينز موجودة في Letter of Engagemnt لكن ما جتني منها اسئلة ممكن انت تجيك لكن الفكرة وحدة) عشان كذا انا بشرح الفكرة ما سويت رايت اب
- WEB-APP01 = لينكس ماشين بتستعمل فيها Wazuh DQL(Dashboards Query Language) اسئلة الامتحان مثل تطلع عدد http request الـlegit و Automation tool used for directory enumeration و اسم اليوزر وكلمة السر تبع اليوزر الي attacker سواه كا persistence tequenice وكوماند privilege escalation كلها تقدر تطلعها عن طريق Wazuh query و correlation بين logs وتوجد أسئلة Threat intelligence مثل attacker ip ينتمي لأي CIDR و أي ASN كلها تطلعها عن طريق اونلاين تولز مثل WHOIS وسؤال بأي ملف يخزن user hashes كلها عن طريق البحث بالإنترنت تحصلها
- WKS-RSCH01 = ماشين ويندوز هنا بتستعمل أدوات مثل wireshark و sysmon و pestudio بيزودك بالملفات تبع Evidence انت عليك Analysis و Correlate واسئلة الامتحان مثل ما الكوماند الي attacker استخدمه عشان يسوي enumerate لليوزر والقروب عن طريق sysmon تقدر تسوي فلتر event id 1 (process creation) وتبدء تشوف logs خانة commandline ما الكوماند الي كتب وبيكون في سؤال مثل اليوزر الي سوا excute للكوماند وسؤال مثل اسم ملف الوورد الي attacker حمله على ماشين victim تبدء تدخل wireshark وبيكون مزودك بملف pcap خاص بالماشين تروح على extract object بيطلع لك الملفات الي تم تناقلها الخ.. تستخرج excutable file من مستند الوورد وتفتحه الملف في تولز مثل pestudio تبدء تشوف API الي يستعملها الملف و objects macro واش مكتبات dll الي حصلها import ويوجد اسئلة عامة اجابة مباشرة مثل اعدادات النظام تسجل في اي Reigstry تقدر عن البحث بالإنترنت تحصل الإجابة
في النهاية بتجيك أسئلة Threat intelligence تقدر تجاوبها بدون العملي عن طريق البحث بالإنترنت يسئلك عن التكنيك الي حصل ما رمزه في MITRE الخ..
وما هي القروبات التي تستعمل هذه التكتيك الخ..
واسئلة ريبورتنق مثل أي افضل erdicatoin سيناريو ممكن تسويه للماشين هذه الخ..
باختصار الاختبار مو صعب لكن يحتاج تركيز وتدريب على Wazuh query وتحليل الملفات والماكرو و Sysmon كلها لها لابت في THM ذكرها البشمهندس Mohamed Amr@ في اخر الكورس
واتمنى اكون افدتكم بالتوفيق للجميع
Mohamed Amr, Amr Abd El-Hamide وAdham Hany2 تعليق 1 مشاركة-
تسلم البوست الحلو دا
1-
@Mohamed_Amr_38 الله يسلمك أشكرك جزيل الشكر على كل الجهد والوقت الذي بذلته في شرح الكورس. بفضل الله ثم شرحك وتوجيهك تمكنا من اجتياز الاختبار بنجاح.
-
