前言

OSDA即OffSec Defense Analyst，是一个面向蓝队人员的证书，对应的课程名称为SOC-200(OffSec Foundational Security Operations and Defensive Analysis)，看名字就知道是面向SOC分析师岗位的。

这一点要吐槽下，国外的蓝队岗位划分比较细，有SOC、DFIR、Threat Hunt等等，国内则是一锅粥，恨不得5000块招一个三头六臂无所不能的进来。

SOC-200使用的SIEM是ELK，有的人觉得不教Splunk简直对不起这个价钱，我倒无所谓，反正OSCP和OSCE3已经值回票价了，剩下再考到都是赚的。

考试规则

考试是要求只能用提供的ELK来进行各种操作，例如查询日志、查看告警等，也就是不存在上机排查环节。

其他的规则和之前一样，不能用chatgpt之类的。

考试里总共是10个阶段，每个阶段满分10分，会根据你对每个阶段的发现情况给分，总分拿到75分才能通过。

报告要求：

您需要撰写一份专业报告，包括您收集的所有证据、有关攻击者技术的结论以及每个阶段的妥协方案。您必须记录所有发现结果，包括 SIEM 的所有屏幕截图以及用于确定攻击者操作的任何查询。此外，您必须描述攻击者在每个阶段在网络中获得的访问类型。您的文档应该足够详尽，以便技术上有能力的读者可以逐步复制您的分析。

备考

官方给的资源完全够备考，所以不需要额外练习。

课程材料里前面会根据MITRE ATT&CK的各个阶段进行讲解，后面则会专门教授ELK的使用，以一次事件来完整演示日志调查、告警规则编写这个流程。

课程提供13个challenge，从简单到复杂，每个challenge都有多个阶段，需要手动启动阶段才会有对应的事件日志。

challenge是不需要提交flag的，所以一大难点就是你不知道自己是否完全找到了该阶段的所有内容，这一点和真实工作很像。不过也有技巧，就是用启动每个阶段的时间来帮你把范围缩小，不然海量的日志能让你找到头晕。

另外challenge里的预置规则很少，基本都需要通过日志来分析行为，当然你可以自己导入规则，这在考试中也是允许的，不过根据我的实际经验来看，没这个必要。

备考OSDA花的时间很短，不到一个月，因为我只重点看了ELK使用介绍的部分，然后就开始challenge了。因为工作忙，直到考试前一晚我才做完第12个，最后一个就没做。

这门课程提供了专门的challenge讲解视频，可能是为了照顾新手，还是直播讲的，能够听到讲师与听众的互动。不过讲课程的估计是个印度哥们，口音有点奇怪，再加上讲的很磨叽，我就基本没看。

OffSec的discord里提供了SOC-200课程challenge的hint bot，如果遇到困难或者想确认自己是不是找到了所有内容，就可以去看看。

考试

这次考试算是压力最小的一次了，虽然只有24小时，但完全够用。

考试总共有10个阶段，也给了一些预置规则，这些规则很有用，基本算是提示了。

我从早上8点开始，中间遇到过一些小插曲耽误了点时间，到下午6点就全部做完了，个人认为所有攻击内容都找到了，应该没有遗漏的。

然后就是写报告，这次没用官方的Word模板，因为做的真的是依托史，我连改都不想改，最后用github上的markdown模板做的。

最终在凌晨1点提前结束了考试，报告写了近50页，里面大概放了100张图片，检查了几遍后就交了报告。
一些考试经验：

• 考试环境不是非常稳定，万一发现找不到应该找的日志，就重置。只不过重置很费时间，尤其是打到后面几个阶段，每次重置要十几分钟，还要再花时间一个阶段一个阶段走过去，基本上得一小时起步
• 每次启动阶段的时间可以记录下来，这是防止后面你突然发现某个攻击环节明显缺信息了，还能根据时间再回去找，不必重置环境
• 每个阶段里的事件数量不是固定的，有可能是多个，有可能只有一个，所以如果找不到别的痕迹就直接开始下一个阶段吧
• 考试不要求写检测规则，只需要把你找到的攻击者的手法描述清楚就行，贴上截图、所用到的KQL语句等，不需要把每个查询都写上，稍微复杂点的（有多个过滤或限定条件）写上就行

小结

4月5号凌晨1点提交了报告，4月8号早上起来就看到了通过的邮件，速度还是挺快的。

还剩一个OSMR，但是我不想继续考了，已经考麻了，反正macOS的安全和我的工作相关不大，未来也大概率不会做这方面的研究，所以就放弃好了，好好休息下，剩下的时间看看新出的几个Learn Path，一年的OffSec之旅就这样结束吧。