SOC-200/OSDA 認證考試心得分享

前言

很開心在等待一週後，終於收到了 OSDA (Security Operations and Defensive Analysis) 認證考試通過的郵件。 來分享我的學習和考試歷程。

課程準備階段

感謝公司提供資源，讓我有機會參加 DEVCORE & OffSec 的實體培訓課程。這五天的學習時光非常充實，甚至比學生時代還要認真。

每日作息

為了兼顧家庭和上課學習，五天行程如下：

• 06:45 起床
• 07:35 送小孩上學
• 08:45 抵達教室準備上課
• 18:00 下課
• 18:30 回家陪家人
• 21:00 準備隔天課程資料
• 23:00 睡覺

課程內容說明

SOC-200 課程包含三大部分：

1. Training Material

• 共 19 個學習模組
• 主要是小型題組和攻擊者視角的演練
• 建議快速瀏覽所有模組，針對感興趣的部分深入學習
• 對有經驗者來說可選擇性學習（我只完成了 25.7% …）

2. Challenge Labs

• 強烈建議完成所有 Challenge Labs
• 建議詳細記錄每個 Phase 的攻擊流程
• 為每個階段撰寫 Summary Report
• 如果卡關超過 30 分鐘，建議查看 OffSec Discord 的提示
• 特別推薦完成 Challenge 11、12、13

3. OSA-SOC-200

• 提供 Training Material 與 Challenge Labs 的對應關係
• 包含講師解題示範影片
• 對自學者特別有幫助

考試當天

準備

• 選擇週五 21:00 開始考試，那天沒有其他時間可以選了…
• 前 20 分鐘進行個人資訊確認和環境檢查
• 21:30 正式開始第一階段

重要建議

1. 事前準備
   • 考試可以用自製的 dashboard 和 rules，非常有用
   • 開啟 Kibana 預設規則也非常夠用了
2. 工具準備
   • 準備便於快速瀏覽各種事件類型的 dashboard
   • 熟悉常用的 Event Source 和 Event ID
3. 考試過程
   • 花了約 7-8 小時完成 10 個階段
   • 建議邊考試邊截圖並記錄 KQL
   • 記錄每個階段的開始時間
4. 時間分配
   • 晚上 9 點半到凌晨 4 點看完 10 個 Phases
   • 凌晨 4 點休息到早上 7 點
   • 上午重新檢視所有事件
   • 中午休息用餐
   • 下午 3 點完成考試
5. 報告撰寫
   • 週六晚上花 2-3 小時完善攻擊路徑
   • 為每個階段撰寫摘要報告
   • 週日凌晨提交報告

心得總結

1. 題目難度普普跟我每天做的工作一模一樣，在兒子睡了以後花幾天把 Challenge Labs 做一做就上去預約考試了
2. 需要瀏覽大量事件 (1m+) 並定位可疑事件的能力
3. 重要的是保持自信，相信自己的判斷
4. 避免過度懷疑而重新部署浪費時間，媽的我就是不相信事件 Redeploy 看了兩次 10 個 Phases…