eCIR是什么？

不是一系列的多选题，而是一场模拟真实应急响应的考试。
你需要使用多种检测技术，流量分析、日志分析等。这些技能对你的工作很有帮助。
只有考生识别到了攻击者的攻击活动，才能获得eCIR认证。

需要知道的知识范围

网络流量分析
使用工具Wireshark, ELK, Splunk
事件分析
SIEM搜索
进程分析
对于网络安全杀伤链（信息搜集、扫描、漏洞利用、后渗透）的理解

前置知识

为了通过eCIR考试，你需要知道

应急响应的全流程
对于网络的概念
应急响应过程和方法论
数据包分析
事件和日志分析
熟悉Wireshark, ELK, Splunk
网络犯罪技术，战术和过程
检测网络杀伤链的所有阶段
熟悉ELK和Splunk搜索
使用SIEM有效的分析上千个事件
对于sysmon和windows事件的了解
通过进程分析来掌握攻击者的活动

SIEM安全信息事件管理工具Splunk

Splunk的创建者将其描述为一种从机器数据中聚合、分析并获得答案的解决方案。Splunk可用于应用程序管理、运营管理、安全与合规等。

在安全性方面，Splunk可以用作日志管理解决方案，但最重要的是用作分析驱动的SIEM。Splunk可以通过详细的可视化来加强对动态多步骤攻击的调查，甚至可以通过用户行为分析来增强组织的检测能力。

Splunk可以通过无代理和转发器的方式从几乎任何来源获取几乎任何数据。

Splunk的构架

Splunk的体系结构（高级别）包括：

转发器组件

通用转发器从远程源收集数据，并将其发送到一个或多个Splunk索引器。通用转发器是单独的下载，可以安装在任何远程源上，对网络或主机性能几乎没有影响。

重型转发器也从远程源收集数据，但它们通常用于重型数据聚合任务，来自防火墙或数据路由/过滤传递点等源。根据Spdiction的说法，与其他转发器类型不同，重型转发器在转发数据之前会对数据进行解析，并可以根据事件源或类型等标准路由数据。它们还可以在将数据转发到另一个索引器的同时对数据进行本地索引。重型转发器通常作为API/脚本数据访问的“数据收集节点”运行，并且它们仅与Splunk Enterprise兼容。

注意：HTTP事件收集器（HECs）也存在，可以通过基于令牌的JSON或原始API方式直接从应用程序中大规模收集数据。数据直接发送到索引器级别。

索引器组件
索引器处理机器数据，将结果存储为事件索引，实现快速搜索和分析。当索引器索引数据时，它会按年龄组织成一系列目录集合的文件。每个目录包含原始数据（已压缩）和索引（指向原始数据）。
搜索头组件
搜索头组件允许用户使用搜索语言搜索索引数据。它将用户搜索请求分发给索引器，并 cons 像提取字段值对一样将结果整合到用户中。搜索头上的知识对象可以用来提取额外的字段并转换数据，而不改变底层索引数据。需要注意的是，搜索头还提供增强搜索体验的工具，如报告、仪表板和可视化。
Splunk应用程序和技术附加组件（TAs）：

Splunk应用程序旨在解决各种用例，并扩展Splunk的功能。它们基本上是包含数据输入、UI元素和/或知识对象的文件集合。Splunk应用程序还允许不同用例/用户角色的多个工作空间共存于单个Splunk实例上。现成的应用程序可在Splunkbase（splunkbase.com）上找到。

Splunk技术附加组件抽象了收集方法，通常包括相关的字段提取（即时架构）。它们还包括相关的配置文件（props/transforms）和辅助脚本二进制文件。

您可以将Splunk应用程序视为一个完整的解决方案，通常使用一个或多个技术附加组件。