TryHackMe更智能地培训，更快地响应：缩小SOC中的技能差距

“在当今快节奏的数字环境中”——正如人工智能聊天机器人喜欢用语来措辞的那样——针对您的组织的网络攻击是统计学上确定的。

但是，当这种情况发生时，您的安全团队是否准备好做出回应？他们能自信地确定发生了什么，以及如何发生的情况吗？如果答案是“不”或“我不确定”，那么TryHackMe就是你不知道你需要的劳动力技能提升解决方案。

什么是TryHackMe？

TryHackMe是一个交互式网络安全培训平台，通过游戏化课程、实践实验室和实际挑战，帮助个人和企业建立现实世界的技能。受到组织的信任，可以缩小劳动力技能差距，它使团队能够加强其能力并提升其整体安全态势。

该平台围绕学习路径构建，这可以帮助用户开始或提升他们特定的网络安全职业。

该平台的高级内容工程师之一Maksym说：“例如，我们有成为SOC 1级分析师的道路，有发展成为SOC 2级分析师的道路，现在我们已经为这个职业推出了最先进的道路：高级端点调查。”

每个学习路径都分为模块/部分，每个模块由不同的房间/个人挑战组成。要通过它们，您不必设置实验室——您只需要一个帐户和一个浏览器，平台就为所有这些提供了虚拟环境。

Maksym本人证明了TryHackMe的易用性和有效性，因为他启动并推进了自己的职业生涯。

他告诉我们：“该平台具有教育意义（但不是理论性很强），非常实用和引人入胜。”“大多数学习和训练场景的灵感来自已经发生和仍在发生的攻击，挑战是’游戏化’的，以使它们更加有趣。”

高级端点调查

Maksym在一家托管安全服务提供商工作时磨练了他的SOC和取证技能。

在TryHackMe，他利用这一经验帮助高级SOC分析师为寻求过渡到高级IR或威胁狩猎角色，以及需要培养捕获、分析和跟踪人工制品技能的经验丰富的事件响应者完善学习路径——无论是在Windows或Linux端点、手机或磁盘映像上，还是在系统内存中。

他指出：“SIEM可能会出现警报，EDR可以突出可疑行为，但它们并不总是能说明全部情况。”“但你仍然需要调查妥协并找到证据，为此，你需要实用的取证技能和实践经验，这将使你在不同的操作系统之间进行旋转。”

最近推出的高级端点调查学习路径包括七个模块：

1.文件系统分析：教用户磁盘分区方案（MBR、GPT）、文件系统（FAT32、NTFS、EXT）、从原始元数据中提取文件，而不依赖文件系统元数据。

2.Linux端点调查：深入研究实时分析、过程剖析/审查和日志调查。

3.Windows端点调查：不同的Windows组件存储在数字调查期间可能有用的信息。本模块教授如何在注册表、用户帐户、网络活动等中找到攻击者的足迹。

4. macOS 取证：教授如何在不同类型的日志和应用程序工件中发现和追溯用户活动。

5.移动分析：培训用户获取/提取和保存移动证据，了解Android和iOS文件系统和架构的结构，并识别有价值的人工制品（例如消息、位置数据等）

6.内存分析：一些威胁仅限于系统的易失性内存，您需要知道如何捕获、分析它并从中提取有用的信息。

7.磁盘图像分析：有时，表明攻击成功的唯一证据可以在“冷”系统上找到。本模块教授如何制作系统磁盘的映像，以及如何筛选它以获取线索。

在通过模块时，用户学习使用流行的取证工具，如Autopsy、Volatility、EZ Tools、mac_apt等。

“每个模块都有引人入胜、现实的情景。例如，在MacOS模块中，我们有“假领英工作面试”攻击。在Windows模块中，我们解释了最近许多不同的APT攻击，”Maksym告诉我们。

“在’无日志狩猎’房间里，我们解释了在威胁者从系统中删除所有安全日志的情况下，防御者如何找到并使用独特的人工制品。在内存分析模块中，我们解释了如何检测内存C2，以及如何仅通过内存取证检测不同的横向运动特权升级技术。在“磁盘映像”模块中，用户通过分析从员工桌面上取的磁盘映像来了解如何检测恶意内部人员的活动。”