我最近通过了进攻性安全防御分析师 (OSDA) 考试，这是 OffSec 的第一个也是唯一一个防御性安全课程，面向在安全运营中心 (SOC) 工作的分析师和威胁猎手。

撰写本文时，SOC-200：基础安全运营与防御分析课程包含19个模块（含实验部分），课程内容侧重于Windows系统，其中六个模块专门讲解如何识别针对Windows系统的攻击，另有两个模块讲解Active Directory。只有两个模块讲解如何识别针对Linux系统的攻击，没有涉及macOS的模块。此外，课程还包含网络检测、防病毒警报和规避（同样针对Windows系统）以及网络规避和隧道技术的模块。

所有模块的结构都类似，每个模块都会先介绍主题，然后详细讲解五到十五种攻击方法，并按类别分组，最后演示如何在日志中识别这些攻击。例如，“Windows 服务器端攻击”模块分为三个类别：凭据滥用、Web 应用程序攻击和二进制漏洞利用，每个类别下又包含多种攻击方法。“Web 应用程序攻击”概述了 IIS，然后详细介绍了本地文件包含、命令注入和文件上传攻击。与其他 OffSec 课程一样，这些攻击的解释非常出色。课程的详细程度足以帮助我理解和识别考试中的攻击。

我的整个学习周期前后大概花了3个月时间，在全职工作之余完成了培训和所有挑战实验室。这些实验室非常棒，让我觉得这门课程物有所值。这些实验室涵盖了课程中大部分的攻击，而且我认为其中使用的策略和技巧与我在安全运营中心（SOC）实际工作中遇到的情况非常吻合。当你开始一个阶段时，它会触发一个脚本化的攻击，该攻击最多只需10分钟即可完成。因此，建议你记下触发阶段的时间，等待10分钟，然后将你的搜索时间限制在这10分钟之内。我还建议你尽量一次性完成每个实验室的所有阶段，因为我发现，如果没有等待规定的时间就重复进行阶段会导致混乱，并且攻击者的操作顺序也会出错。

在做实验时，尽量把每个实验都当作模拟考试来对待，因为这些实验是你唯一的练习机会。这个考试不像 OSCP 那样，实验环节有 50 台机器，考场里还有 100 多台，没有其他类似的实验可以练习。做好详细的笔记和截图，把每份笔记整理成一份模拟报告。

OSDA考试为监考考试，时长23小时45分钟，模拟企业环境，包括集成终端的安全信息和事件管理（SIEM）系统。考试分为10个阶段，每个阶段包含若干攻击者行为，考生必须检测、理解并记录这些行为。与其他OffSec考试一样，考生还有24小时的时间完成并提交报告。

我预约的考试时间是中午12点，根据我在实验室的经验，我估计每个阶段需要1小时完成。这个估计是正确的，我在完成第五阶段后休息了30分钟，大约在晚上10点半结束考试。在进行各个阶段的过程中，我做了详细的笔记，并截屏保存了所有操作步骤。我睡了个好觉，早上7点左右起床开始撰写报告，报告大约花了3个小时，到10点我提交了最终报告。考试内容一切顺利，没有出现任何意外。 欢迎你试听谷安OSDA的视频课程了解更多上课详情！免费观看视频学习，LAB低至8~8.5折。

SOC-200 课程和 OSDA 考试对于有志成为 SOC 分析师的初级分析师，尤其是那些使用 ELK 技术栈作为 SIEM 系统的学员来说，非常实用。

该课程对所有攻击的讲解都非常透彻，足以帮助那些之前没有进行过任何渗透测试或学习过其他 200 级 OffSec 课程的学员通过考试。课程预设了相当多的知识基础，但完成 Learn One 平台上所有免费的 100 级课程即可获得理解课程内容所需的知识。

我对这门课程唯一的批评是，ELK 直到第 17 个模块才开始介绍，在此之前，学员需要使用 PowerShell 手动从日志中检索信息，这在实际企业环境中几乎不会用到。应该从一开始就使用 ELK，这样学员就有时间学习 Kibana 查询语言的语法。尽管如此，我仍然很喜欢这门课程，尤其是挑战实验室部分，我推荐大家学习这门课程。

我希望OffSec能继续加大对SOC-300的投资和开发，并希望它能像OSCP之于渗透测试一样，成为蓝队认证的事实标准。我还希望他们能开设SOC-300课程，我肯定会参加。