210-255 SECOPS
Opis
Egzamin 210-255 SECOPS jest drugim z dwóch wymaganych egzaminów w celu uzyskania certyfikatu CCNA Cyber Ops i przygotowuje kandydatów do rozpoczęcia kariery zawodowej w centrach bezpieczeństwa (SOC) na stanowiskach młodszych analityków bezpieczeństwa. Egzamin 210-255 SECOPS sprawdza wiedzę i umiejętności kandydata w zakresie skutecznego zarządzania zadaniami, obowiązkami w pracy na stanowisku młodszego analityka bezpieczeństwa pracującego w SOC.
Przebieg egzaminu:
Egzamin dostępny w języku angielskim.
Maksymalny czas trwania egzaminu: 90 minut
Uwaga, dla osób, których język angielski nie jest językiem ojczystym przysługuje dodatkowe 30 min do czasu trwania egzaminu. Jeżeli chcemy skorzystać z tej opcji należy ją wskazać podczas rejestracji na egzamin. Dodatkowo przed każdym egzaminem uczestnik otrzymuje 15 minut czas na zapoznanie się z systemem egzaminacyjny.
Egzamin jest w całości przeprowadzany na komputerze, a zadania praktyczne realizowane są w symulatorze.
Rodzaje pytania z jakimi spotkasz podczas egzaminu:
- Pytania pojedynczego wyboru
- Pytania wielokrotnego wyboru
- Pytania drag-and-drop
- Pytania typu “wpisz odpowiedź” (słowo, wartość)
- Pytania symulacyjne, gdzie zadanie polega na odpowiednim skonfigurowania urządzenia
- Pytania symulacyjne, gdzie zadanie polega na zweryfikowania działanie urządzenia sieci i na tej podstawie udzielenia odpowiedzi
Liczba pytań egzaminacyjnych: 55-65 pytań
Uwaga, na egzaminie nie możesz się cofać do wcześniejszych pytań i tym samym trudniejsze z nich zostawić sobie na koniec. Również rodzaj pytań jak ich kolejność jest podczas egzaminu losowa.
Na stronie Review type of exam questions znajduje się symulator systemu egzaminacyjnego za pomocą którego można się zapoznać ze wszystkimi rodzajami pytań.
Aktualne zasady obowiązujące podczas egzaminów Cisco https://www.cisco.com/c/en/us/training-events/training-certifications/exams/policies.html
Gdzie
Egzamin zdawany za pośrednictwem centrów testowych Pearson VUE
Wymagania
Pozytywny wynik egzaminu. Cisco nie publikuje oficjalnego poziomu punktów, które gwarantują pozytywny wynik, ale należy się spodziewać, że będzie to wynik na poziomie 860 punktów z 1000 możliwych. Cisco zachowuje swoje prawo do zmiany zasad punktacji jak i wymaganego wyniku w dowolnym momencie.
Cena
300 USDZagadnienia
Poniższe zagadnienia stanowią ogólne wytyczne dotyczące tematyki pytań która może zostać uwzględniona podczas egzaminu 210-255 SECOPS. Jednak należy również pamiętać, że inne tematy pokrewne mogą się także pojawić podczas egzaminu.
Endpoint Threat Analysis and Computer Forensics 15%
- Interpret the output report of a malware analysis tool such as AMP Threat Grid and Cuckoo Sandbox
- Describe these terms as they are defined in the CVSS 3.0:
- Attack vector
- Attack complexity
- Privileges required
- User interaction
- Scope
- Describe these terms as they are defined in the CVSS 3.0
- Confidentiality
- Integrity
- Availability
- Define these items as they pertain to the Microsoft Windows file system
- FAT32
- NTFS
- Alternative data streams
- MACE
- EFI
- Free space
- Timestamps on a file system
- Define these terms as they pertain to the Linux file system
- EXT4
- Journaling
- MBR
- Swap file system
- MAC
- Compare and contrast three types of evidence
- Best evidence
- Corroborative evidence
- Indirect evidence
- Compare and contrast two types of image
- Altered disk image
- Unaltered disk image
- Describe the role of attribution in an investigation
- Assets
- Threat actor
Network Intrusion Analysis 22%
- Interpret basic regular expressions
- Describe the fields in these protocol headers as they relate to intrusion analysis:
- Ethernet frame
- IPv4
- IPv6
- TCP
- UDP
- ICMP
- HTTP
- Identify the elements from a NetFlow v5 record from a security event
- Identify these key elements in an intrusion from a given PCAP file
- Source address
- Destination address
- Source port
- Destination port
- Protocols
- Payloads
- Extract files from a TCP stream when given a PCAP file and Wireshark
- Interpret common artifact elements from an event to identify an alert
- IP address (source / destination)
- Client and Server Port Identity
- Process (file or registry)
- System (API calls)
- Hashes
- URI / URL
- Map the provided events to these source technologies
- NetFlow
- IDS / IPS
- Firewall
- Network application control
- Proxy logs
- Antivirus
- Compare and contrast impact and no impact for these items
- False Positive
- False Negative
- True Positive
- True Negative
- Interpret a provided intrusion event and host profile to calculate the impact flag generated by Firepower Management Center (FMC)
Incident Response 18%
- Describe the elements that should be included in an incident response plan as stated in NIST.SP800-61 r2
- Map elements to these steps of analysis based on the NIST.SP800-61 r2
- Preparation
- Detection and analysis
- Containment, eradication, and recovery
- Post-incident analysis (lessons learned)
- Map the organization stakeholders against the NIST IR categories (C2M2, SP800-61 r2)
- Preparation
- Detection and analysis
- Containment, eradication, and recovery
- Post-incident analysis (lessons learned)
- Describe the goals of the given CSIRT
- Internal CSIRT
- National CSIRT
- Coordination centers
- Analysis centers
- Vendor teams
- Incident response providers (MSSP)
- Identify these elements used for network profiling
- Total throughput
- Session duration
- Ports used
- Critical asset address space
- Identify these elements used for server profiling
- Listening ports
- Logged in users/service accounts
- Running processes
- Running tasks
- Applications
- Map data types to these compliance frameworks
- PCI
- HIPPA (Health Insurance Portability and Accountability Act)
- SOX
- Identify data elements that must be protected with regards to a specific standard (PCI-DSS)
Data and Event Analysis 23%
- Describe the process of data normalization
- Interpret common data values into a universal format
- Describe 5-tuple correlation
- Describe the 5-tuple approach to isolate a compromised host in a grouped set of logs
- Describe the retrospective analysis method to find a malicious file, provided file analysis report
- Identify potentially compromised hosts within the network based on a threat analysis report containing malicious IP address or domains
- Map DNS logs and HTTP logs together to find a threat actor
- Map DNS, HTTP, and threat intelligence data together
- Identify a correlation rule to distinguish the most significant alert from a given set of events from multiple data sources using the firepower management console
- Compare and contrast deterministic and probabilistic analysis
Incident Handling 22%
- Classify intrusion events into these categories as defined by the Cyber Kill Chain Model
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command and control
- Action on objectives
- Apply the NIST.SP800-61 r2 incident handling process to an event
- Define these activities as they relate to incident handling
- Identification
- Scoping
- Containment
- Remediation
- Lesson-based hardening
- Reporting
- Describe these concepts as they are documented in NIST SP800-86
- Evidence collection order
- Data integrity
- Data preservation
- Volatile data collection
- Apply the VERIS schema categories to a given incident
Dodatkowe informacje
Sugerowane
Jak w przypadku wszystkich egzaminów i certyfikacji Cisco bezpośrednia drogą przygotowująca do egzaminu jest udział w autoryzowanych szkoleniach zarówno stacjonarnych lub online. Niemniej nie jest to krok wymagany a jedynie sugerowany.
Szkolenia przygotowujące do egzaminu 210-255 SECOPS to:
- Implementing Cisco Cybersecurity Operations (SECOPS) – Self paced eLearning
Wysoce rekomendowane
Upewnienie się, że wszystkie przedstawione zagadnienia egzaminacyjne są Ci bardzo dobrze znane zarówno od strony teoretycznej jak i praktycznej. Poza zagadnieniami egzaminacyjnymi publikowanymi na naszej stronie zawsze aktualna lista zagadnień jest dostępna tutaj https://learningnetwork.cisco.com/community/certifications/ccna-cyber-ops/secops/exam-topics
Dodatkowe zasoby pozwalające na lepsze przygotowanie się do egzaminu 210-255 SECOPS
Cisco dostarcza również szereg dodatkowych zasobów pozwalających lepiej przygotować się do egzaminów i certyfikacji, przede wszystkim jest to Cisco Learning Center (czyli miejsce, gdzie znajdują się wszelkie dodatkowe materiały edukacyjne, grupy dyskusyjne, gry edukacyjne, webinaria itd.) a w szczególności:
- dodatkowe materiały do nauki przygotowujące do egzaminu SECOPS Study Material
- CCNA Cyber Ops SECOPS #210-255 Official Cert Guide
- CCNA Cyber Ops Study Group
- kursy video i webseminaria IT Training Videos & Seminars
- wsparcie online dedykowane certyfikacji Certification & Communities Online Support: możliwość zadawania pytań, przeglądania innych pytań i odpowiedzi
- narzędzia testujące podstawowe umiejętności i wiedzę https://learningnetwork.cisco.com/community/learning_center/self_assessments?view=overview
- egzaminy praktyczne “ćwiczeniowe”, https://learningnetworkstore.cisco.com/certification-practice-exams specjalne egzaminy w wersji testowej pozwalające się sprawić przed przystąpieniem do finalnego egzaminu certyfikacyjne. Egzaminy te są dostępne w cenie od 99 USD za jeden
- grup dyskusyjne dedykowane poszczególnym certyfikatom i specjalizacją Study Groups Master List
- opis ścieżek certyfikacyjnych https://learningnetwork.cisco.com/community/certifications
- oferty specjalne i promocje https://learningnetwork.cisco.com/community/promotions
- Learning Partner Lounges – czyli dodatkowe materiały przygotowywane I udostępniane przez partnerów edukacyjnych Cisco
- książki wydawnictwa Cisco Press Cisco Marketplace Bookstore