W dzisiejszym wpisie postanowiłem opisać moją opinię na temat jednej ze ścieżek nauki dostępnej na platformie TryHackMe. Jest to SOC Level 1, który ma pomóc nam nabyć umiejętności i kompetencje potrzebne do pełnienia roli analityka SOC.

O ścieżce

Ścieżka składa się z 71 pokoi, podzielonych na 8 modułów, z których każdy jest poświęcony innej tematyce. Pokoje zawierają materiały edukacyjne oraz odpowiednio przygotowane maszyny wirtualne, które umożliwiają naukę w praktyce.

Kiedy sam rozwiązywałem tę ścieżkę (lipiec 2024), zespół THM wzbogacił ją o pokoje typu challenge/CTF. Obecnie każdy moduł zaczyna się od pokoi, które wprowadzają do nowych zagadnień i narzędzi, a następnie umożliwia przetestowanie zdobytej wiedzy w nowo dodanych pokojach wyzwań. Dodatkowo pojawił się ósmy, końcowy moduł, składający się z 4 pokoi typu challenge, w których należy wykorzystać narzędzia i umiejętności zdobyte w poprzednich modułach. Te zmiany pozwalają lepiej utrwalić materiał i dają dużą satysfakcję po zdobyciu odpowiednich flag.

TryHackMe przewiduje, że ukończenie ścieżki zajmuje około 64 godziny. Jeśli jednak zamierzasz tylko przejść przez zadania, czas ten może być krótszy, nawet o połowę. Z kolei, jeśli planujesz szukać dodatkowych informacji na temat napotkanych ataków i technik oraz notować najważniejsze kwestie, czas ten może wzrosnąć do ponad 100 godzin.

Aby efektywnie realizować tę ścieżkę, niezbędna jest podstawowa wiedza z zakresu informatyki, w tym sieci komputerowych i systemów operacyjnych. Brak tej wiedzy może znacznie utrudnić ukończenie kursu.

Moduły, które zostały dla nas przygotowane to:

  • Cyber Defense Frameworks
  • Cyber Threat Intelligence
  • Network Security and Traffic Analysis
  • Endpoint Security Monitoring
  • Security Information and Event Management
  • Digital Forensics and Incident Response
  • Phishing
  • SOC Level 1 Capstone Challenges

Cyber Defense Frameworks

W tym module dowiemy się, czym zajmuje się analityk SOC, oraz poznamy najczęściej wykorzystywane frameworki, takie jak ATT&CK i inne modele MITRE, Cyber Kill Chain od Lockheed Martin, Unified Cyber Kill Chain, piramidę bólu oraz model diamentowy. Moduł kończy się dwoma pokojami typu challenge. W pierwszym czeka na nas interesująca symulacja związana z piramidą bólu, a w drugim będziemy mieli okazję pracować z MITRE ATT&CK Navigator.

Cyber Threat Intelligence

W tym module otrzymamy ogólne informacje na temat informatyki wywiadowczej. Zaprezentowane zostaną serwisy umożliwiające wyszukiwanie informacji o zagrożeniach, takie jak Cisco Talos Intelligence czy rozwiązania Abuse.ch. Poznamy również Yara oraz platformy takie jak OpenCTI i MISP.

Network Security and Traffic Analysis

Pierwszy temat związany z triadą widoczności. Osobiście mój ulubiony moduł. Jest on poświęcony głównie analizie ruchu sieciowego i składa się z aż z 15 pokoi. Będziemy w tym module używać takich narzędzi jak: Snort, NetworkMiner, Zeek, Brim, Wireshark czy TShark. Wyzwania będą dotyczyły głównie analizy ruchu lub w przypadku Snorta – również napisaniu kilku reguł mających zablokować trwający atak.

Endpoint Security Monitoring

Moduł poświęcony bezpieczeństwu urządzeń końcowych – głównie Windowsów. Poznamy tu procesy systemowe wyżej wymienionego systemu, informacje o jego logach, a także narzędzia Sysinternals – w tym również Sysmon, który ma swój własny pokój. Dodatkowo będziemy używać narzędzia Wazuh oraz OSQuery. Moduł kończymy dwoma wyzwaniami.

Security Information and Event Management

W tym module wprowadzone zostanie pojęcie systemów SIEM oraz omówione zostaną dwa popularne rozwiązania: ELK Stack i Splunk Enterprise. Niestety, systemy SIEM zostały tutaj przedstawione głównie jako narzędzia do przeszukiwania logów, co nie oddaje ich pełnych możliwości. Przy ELK jedynie krótko wspomniano o funkcji tworzenia wizualizacji i dashboardów. Z kolei wiedza o Splunku ogranicza się do omówienia roli poszczególnych komponentów i wyszukiwania informacji, bez poruszenia tematów takich jak alerty, raporty czy dashboardy. Co więcej, zabrakło nawet teoretycznego omówienia kluczowych rozszerzeń, takich jak Splunk ES czy Elastic Security, które wprowadzają istotne funkcje SIEM, takie jak ocena ryzyka czy zarządzanie incydentami. W mojej opinii, warto samodzielnie pogłębić wiedzę z tego modułu, aby w pełni wykorzystać potencjał tych narzędzi.

Digital Forensics and Incident Response

Ten moduł, podobnie jak poprzedni dotyczący analizy ruchu sieciowego, jest wyjątkowo wartościowy. Skupia się na podstawowych artefaktach systemów Windows i Linux, które będziemy analizować przy użyciu narzędzi stworzonych przez Erica Zimmermana, a także KAPE i Autopsy. Dodatkowo, zajmiemy się badaniem zrzutów pamięci operacyjnej przy pomocy narzędzi takich jak Volatility i Redline. Moduł obejmuje również wprowadzenie do szybkiej analizy malware oraz zapoznanie się z platformą Hive, służącą do zarządzania incydentami.

Phishing

W tym module dowiemy się, czym jest phishing, oraz zapoznamy się z protokołami odpowiedzialnymi za obsługę poczty elektronicznej. Omówimy mechanizmy SPF, DKIM i DMARC, a także budowę wiadomości e-mail w formacie RAW i wiele innych zagadnień. Poznamy również narzędzia ułatwiające analizę wiadomości e-mail oraz będziemy mieli okazję samodzielnie przeanalizować kilka przykładowych wiadomości.

SOC Level 1 Capstone Challenges

Moduł podsumowujący, który ma za zadanie sprawdzić waszą wiedzę. Boogeyman włamuje się do kolejnych działów naszej firmy – resztę dowiecie się na własną rękę 😉

Recenzja

Ścieżka nie zapewni nam pełnej wiedzy potrzebnej do pracy na pierwszej linii SOC, co jest zrozumiałe, biorąc pod uwagę ograniczony czas trwania. Skupia się głównie na narzędziach open source, więc nie będziemy mieć styczności z komercyjnym oprogramowaniem, które często jest wykorzystywane w dużych systemach produkcyjnych. Niemniej jednak, ścieżka oferuje solidne fundamenty i wskazuje kluczowe obszary wiedzy, które warto pogłębiać samodzielnie. Dodatkowym atutem jest możliwość nauki poprzez praktyczne zastosowanie zdobytych umiejętności, np. podczas analizowania ruchu sieciowego czy próby blokowania ataków z użyciem Snorta. Platforma dodatkowo motywuje do nauki dzięki elementom grywalizacji. Podsumowując, uważam, że jest to jeden z lepszych pierwszych kroków dla osób z podstawową wiedzą informatyczną. Ukończenie kursu ułatwi dalszy rozwój, czy to przez korzystanie z innych źródeł, czy tworzenie własnych domowych laboratoriów. Po ukończeniu kursu będziemy mogli wygenerować sobie również ładny PDF, jeśli kogoś to przekona 😉

Powodzenia w nauce!

Jeśli planujesz skorzystać z usług TryHackMe, możesz zarejestrować się za pomocą mojego linku polecającego. Dzięki temu, jeśli wykupisz członkostwo premium w ciągu 7 dni od rejestracji, oboje otrzymamy po 5$ do wykorzystania na ten cel.