威胁分析

威胁分析

Q: 我什么时候能看到讲座和作业？

要获取课程资料、作业和证书，您需要在注册课程时购买证书体验。 您可以尝试免费试听，或申请资助。课程可能提供 "完整课程，无证书"。通过该选项，您可以查看所有课程资料，提交必要的评估，并获得最终成绩。这也意味着您无法购买证书体验。

本课程是网络安全操作基础专项课程的一部分

位教师：Cisco Learning & Certifications

5,326 人已注册

包含在 Coursera Plus 中

了解更多

4个模块

深入了解一个主题并学习基础知识。

4.9

（34 条评论）

3 周完成

在 10 小时一周

灵活的计划

自行安排学习进度

98%

大多数学生喜欢此课程

4个模块

深入了解一个主题并学习基础知识。

4.9

（34 条评论）

3 周完成

在 10 小时一周

灵活的计划

自行安排学习进度

98%

大多数学生喜欢此课程

您将获得的技能

要了解的详细信息

可分享的证书

添加到您的领英档案

作业

65 项作业

授课语言：英语（English）

了解顶级公司的员工如何掌握热门技能

了解关于 Coursera for Business 的更多信息

Petrobras, TATA, Danone, Capgemini, P&G 和 L'Oreal 的徽标

积累特定领域的专业知识

本课程是网络安全操作基础专项课程专项课程的一部分

在注册此课程时，您还会同时注册此专项课程。

向行业专家学习新概念
获得对主题或工具的基础理解
通过实践项目培养工作相关技能
获得可共享的职业证书

该课程共有4个模块

如果您是一名在安全操作中心工作的助理级网络安全分析师，本课程将帮助您了解以威胁为中心的 SOC 中的事件分析。课程结束后，您将能够

-描述经典杀戮链模式的侦察阶段 - 描述经典杀戮链模式的武器化阶段 - 描述经典杀戮链模式的交付阶段 - 描述经典杀戮链模式的利用阶段 - 描述经典杀戮链模式的安装阶段描述经典查杀链模式的命令和控制阶段 - 描述经典查杀链模式的目标行动阶段 - 描述如何应用查杀链模式检测和预防勒索软件 - 描述如何使用钻石模式执行网络安全事件分析 - 描述如何使用威胁情报平台应用钻石模式执行网络安全事件分析、描述如何使用威胁情报平台（如 ThreatConnect）应用钻石模型执行网络安全事件分析 - 描述 MITRE ATTACK 框架及其使用方法 - 演练经典杀伤链模型并使用 Security Onion Linux 发行版的各种工具功能 - 理解用于事件调查的杀伤链和钻石模型，以及威胁行为者对漏洞利用工具包的使用。要成功学习本课程，您应具备以下背景： 1.与 "实施和管理 Cisco 解决方案 (CCNA) v1.0 课程 "中学到的技能和知识相当 2.熟悉以太网和 TCP/IP 网络 3.熟悉 Windows 和 Linux 操作系统 4.熟悉网络安全概念的基础知识。

如果您是一名在安全 Operations Center 工作的助理级网络安全分析师，本课程将帮助您了解以威胁为中心的 SOC 中的事件分析。课程结束后，您将能够 - 描述经典杀伤链模式的侦察阶段 - 描述经典杀伤链模式的武器化阶段 - 描述经典杀伤链模式的交付阶段 - 描述经典杀伤链模式的利用阶段 - 描述经典杀伤链模式的安装阶段 l- 描述经典杀伤链模式的命令和控制阶段描述经典查杀链模式的命令和控制阶段 - 描述经典查杀链模式的目标行动阶段 - 描述如何应用查杀链模式来检测和预防 Ransomware - 描述如何使用钻石模式来执行网络安全事件分析 - 描述如何使用威胁情报平台应用钻石模式来执行网络安全事件分析、描述如何使用威胁情报平台（如 ThreatConnect）应用钻石模型执行网络安全事件分析 - 描述 MITRE ATTACK 框架及其使用方法 - 演练经典杀伤链模型，并使用安全洋葱 Linux Distribution 的各种工具功能 - 了解事件调查中的杀伤链和钻石模型，以及威胁行为者对漏洞利用工具包的使用。要成功学习本课程，您应具备以下背景： 1. 与实施和管理思科解决方案（CCNA）v1.0 课程中所学到的技能和知识相当 2.熟悉以太网和 TCP/IP 网络 3.熟悉 Windows 和 Linux 操作系统 4.熟悉 Networking 安全概念的基础知识。

涵盖的内容

13个视频21篇阅读材料13个作业1个讨论话题

13个视频总计29分钟

了解以威胁为中心的 SOC 中的事件分析简介1分钟
经典杀人链模型概述1分钟
杀伤链第 1 阶段：侦察3分钟
武器化2分钟
杀戮链第 3 阶段：交付1分钟
杀戮链第 4 阶段：利用1分钟
杀戮链第 5 阶段：安装1分钟
杀戮链第 6 阶段：指挥与控制1分钟
杀戮链第 7 阶段：目标行动1分钟
应用杀人链模型4分钟
钻石模型概览5分钟
应用钻石模型1分钟
总结1分钟

21篇阅读材料总计134分钟

了解以威胁为中心的 SOC 中的事件分析简介1分钟
经典杀人链模型概述5分钟
杀伤链第 1 阶段：侦察10分钟
武器化7分钟
杀戮链第 3 阶段：交付7分钟
杀戮链第 4 阶段：利用5分钟
杀戮链第 5 阶段：安装5分钟
杀戮链第 6 阶段：指挥与控制7分钟
杀戮链第 7 阶段：目标行动7分钟
应用杀人链模型15分钟
钻石模型概览8分钟
应用钻石模型10分钟
主题介绍5分钟
痛苦金字塔7分钟
开始使用 MITRE ATT&CK 框架5分钟
企业 ATT&CK Matrix 组件5分钟
MITRE ATT&CK Matrix 和战术7分钟
MITRE ATT&CK 检测和缓解技术与策略6分钟
MITRE ATT&CK 导航器网络应用程序6分钟
使用 ATT&CK 框架创建威胁模型5分钟
总结1分钟

13个作业总计86分钟

经典杀人链模型概述练习测验5分钟
杀伤链第 1 阶段：侦察练习测验5分钟
杀戮链第二阶段：武器化实践测验5分钟
杀人链第 3 阶段：交付实践测验5分钟
杀人链第 4 阶段：交付实践测验5分钟
杀戮链第 5 阶段：交付实践测验5分钟
杀戮链第 6 阶段：交付实践测验5分钟
杀戮链第 7 阶段：交付实践测验5分钟
应用杀人链模型练习测验7分钟
钻石模型概述练习测验7分钟
应用钻石模型实践考试5分钟
MITRE ATTACK™ 框架实践考试7分钟
了解以威胁为中心的 SOC 中的事件分析》课程考试20分钟

1个讨论话题总计10分钟

学员介绍10分钟

如果您是一名在安全 Operations Center 工作的助理级网络安全分析师，本课程将帮助您了解常见的攻击 Vector。课程结束后，您将能够- 识别常见的攻击向量 - 解释 DNS 术语和操作 - 描述通过 DDNS 自动发现和注册客户端公共 IP 地址的过程 - 描述递归 DNS 查询的过程 - 描述 HTTP 操作和流量分析，以识别 HTTP 流量中的异常情况 - 描述 HTTPS 流量的使用和操作 - 描述 HTTP/2 和流的使用和操作 - 描述 SQL 如何用于查询、描述 SQL 如何用于查询、操作和管理关系数据库管理系统，以及如何识别基于 SQL 的攻击 - 描述邮件发送过程的工作原理和 SMTP 会话 - 描述网络脚本如何用于发送恶意软件 - 解释威胁行为者对混淆 JavaScript 的使用 - 解释威胁行为者对 shellcode 和漏洞利用的使用 - 了解 Metasploit 框架内的三种基本有效载荷类型（单个、阶段解释威胁行为者对目录遍历的使用 - 解释 SQL Injection 攻击的基本概念 - 解释跨解释跨站点脚本攻击的基本概念 - 解释威胁行为者对 Punycode 的使用 - 解释威胁行为者对 DNS 隧道的使用 - 解释威胁行为者对透视的使用 - 描述使用 HTTP 302 缓冲的网站重定向 - 描述攻击者如何通过基于 Web 的攻击获取 Accessibility - 了解威胁行为者如何使用漏洞利用工具包 - 描述 Emotet APT - 扮演攻击者和分析师两个角色，模拟攻击、扮演攻击者模拟攻击，扮演分析师分析攻击。要成功学习本课程，您应具备以下背景： 1. 与实施和管理思科解决方案（CCNA）v1.0 课程中学到的技能和知识相当 2.熟悉以太网和 TCP/IP 网络 3.熟悉 Windows 和 Linux 操作系统 4.熟悉 Networking 安全概念的基础知识。

涵盖的内容

23个视频78篇阅读材料23个作业

23个视频总计82分钟

识别常见攻击 Vector 简介1分钟
DNS Operator5分钟
动态 DNS2分钟
递归 DNS Query2分钟
HTTP Operator8分钟
HTTPS Operator3分钟
SQL Operator2分钟
SMTP Operator4分钟
网络脚本3分钟
混淆 JavaScript4分钟
shellcode 和漏洞利用4分钟
常见的 Metasploit 有效载荷4分钟
目录 Traversing4分钟
SQL 注入4分钟
Cross-Site Scripting3分钟
旁码3分钟
DNS 隧道技术2分钟
枢轴转动1分钟
HTTP 302 缓冲5分钟
通过网络攻击获取 Accessibility3分钟
漏洞利用工具包2分钟
漏洞利用工具包2分钟
总结1分钟

78篇阅读材料总计384分钟

识别常见攻击 Vector 简介1分钟
DNS Operator2分钟
DNS 映射7分钟
DNS 端口2分钟
DNS 分布式数据库7分钟
DNS 术语7分钟
DNS RR 类型5分钟
nslookup 实用程序7分钟
动态 DNS2分钟
DDNS Operator7分钟
动态 DNS6分钟
主题介绍1分钟
递归 DNS Query7分钟
主题介绍1分钟
HTTP 协议基础知识5分钟
URI 和 URL7分钟
HTTP 请求方法3分钟
HTTP 请求和响应 Packet 捕捉示例7分钟
HTTP 状态代码5分钟
HTTP Cookie8分钟
HTTP 引用文件5分钟
HTTPS Operator1分钟
主题介绍5分钟
HTTPS Operator7分钟
Web Server 数字证书7分钟
主题介绍10分钟
HTTP/2 Operator5分钟
HTTP/2 数据流5分钟
HTTP/2 版本标识5分钟
HTTP/2 的其他 Feature4分钟
HTTP/2 PCAP 示例5分钟
HTTP/2 漏洞3分钟
SQL Operator1分钟
主题介绍5分钟
SQL 命令6分钟
SMTP Operator1分钟
主题介绍2分钟
SMTP 术语表5分钟
SMTP 流程8分钟
SMTP 会话10分钟
网络脚本1分钟
网络脚本3分钟
网络脚本2分钟
服务器端脚本和客户端脚本7分钟
主题介绍12分钟
混淆 JavaScript7分钟
shellcode 和漏洞利用2分钟
主题介绍10分钟
常见的 Metasploit 有效载荷1分钟
单身4分钟
管理员3分钟
阶段3分钟
其他有效载荷5分钟
目录 Traversing1分钟
主题介绍10分钟
SQL 注入3分钟
主题介绍5分钟
入侵防御系统签名7分钟
Cross-Site Scripting1分钟
主题介绍7分钟
Cross-Site Scripting5分钟
旁码1分钟
主题介绍7分钟
DNS 隧道技术1分钟
主题介绍5分钟
枢轴转动1分钟
主题介绍2分钟
HTTP 302 缓冲1分钟
主题介绍1分钟
HTTP 302 缓冲7分钟
通过网络攻击获取 Accessibility1分钟
主题介绍10分钟
漏洞利用工具包10分钟
主题介绍10分钟
漏洞利用工具包10分钟
漏洞利用工具包10分钟
Emotet 高级持续性威胁10分钟
总结1分钟

23个作业总计169分钟

DNS Operator 模拟考试3分钟
动态 DNS 模拟考试5分钟
Recursive DNS Query 模拟考试3分钟
HTTP Operator 模拟考试7分钟
HTTPS Operator 模拟考试6分钟
HTTP/2 Operator 实践考试2分钟
SQL Operator 模拟考试4分钟
SMTP Operator 模拟考试2分钟
网络脚本实践考试5分钟
混淆 JavaScript 模拟考试4分钟
贝壳代码和漏洞利用实践考试4分钟
常见 Metasploit 有效载荷实践考试2分钟
目录 Traversing 模拟考试4分钟
SQL Injection 模拟考试3分钟
Cross-Site Scripting 模拟考试4分钟
Punycode 模拟考试4分钟
DNS 隧道实践考试4分钟
旋转练习考试4分钟
HTTP 302 缓冲实践考试5分钟
通过网络攻击获取 Accessibility 模拟考试30分钟
漏洞利用工具包实践考试30分钟
Emotet 高级持续性威胁实践考试4分钟
识别常见的攻击 Vector 课程考试30分钟

如果您是一名在安全 Operations Center 工作的助理级网络安全分析师，本课程将帮助您识别恶意活动。课程结束后，您将能够 - 解释为什么安全分析师需要了解他们所保护的网络设计 - 理解您所保护的网络设计的作用 - 定义不同的威胁行为者类型 - 提供一个使用 ELSA 搜索日志数据的示例 - 结合 Linux 系统探索日志功能 - 描述如何使用 Windows 事件查看器来浏览和管理事件日志 - 描述防火墙系统日志消息中安全事件的来龙去脉 - 描述网络 DNS 活动日志分析的必要性 - 描述用于调查网络攻击的网络代理日志分析描述网络代理日志分析，以调查基于 Web 的攻击 - 描述电子邮件代理日志分析，以调查基于电子邮件的攻击 - 描述 AAA 服务器日志分析，以调查基于 AAA 的攻击。描述用于调查基于 Web 的攻击的 Web 代理日志分析 - 描述用于调查基于电子邮件的攻击的电子邮件代理日志分析 - 描述 AAA 服务器日志分析 - 描述用于事件调查的 NGFW 日志分析 - 描述用于检测应用程序滥用的应用程序日志分析 - 描述如何使用 NetFlow 收集和监控网络流量数据 - 解释如何将 NetFlow 用作安全工具 - 描述用于检测网络行为异常的异常监控说明如何使用 DNS 进行攻击 - 说明入侵防御系统的规避技术 - 说明洋葱路由器网络和如何检测 Tor 网络流量 - 说明在端点攻击中获取访问权和控制权 - 说明 Peer-to-Peer 文件共享和风险 - 说明如何在网络攻击中获取访问权和控制权 - 说明如何在网络攻击中获取访问权和控制权 - 说明如何在网络攻击中获取访问权和控制权 - 说明如何在网络攻击中获取访问权和控制权 - 说明如何在网络攻击中获取访问权和控制权 - 说明如何在网络攻击中获取访问权和控制权 - 说明如何在网络攻击中获取访问权和控制权 - 说明如何在网络攻击中获取访问权和控制权Encapsulation - Explore how to prevent attackers to modify a device's software image - Explore how attackers leverage DNS in their attacks - Analyze data for investigation of a security event.要成功学习本课程，您应具备以下背景： 1. 与 "实施和管理思科解决方案（CCNA）"v1.0 课程中所学到的技能和知识相当 2.熟悉以太网和 TCP/IP 网络 3.熟悉 Windows 和 Linux 操作系统 4.熟悉 Networking 安全概念的基础知识。

涵盖的内容

21个视频64篇阅读材料24个作业1个讨论话题

21个视频总计88分钟

识别恶意活动简介1分钟
了解 Networking 设计2分钟
确定可能的威胁行为者7分钟
日志数据搜索7分钟
系统日志5分钟
Windows 事件查看器2分钟
防火墙日志3分钟
DNS 日志4分钟
网络代理日志3分钟
电子邮件代理日志2分钟
AAA 服务器日志1分钟
下一代防火墙日志2分钟
应用日志2分钟
网络流5分钟
作为安全工具的 NetFlow9分钟
网络行为异常检测4分钟
使用 NetFlow 检测数据丢失示例4分钟
DNS 风险与缓解工具6分钟
IPS 规避技术4分钟
获取 Accessibility 和控制权3分钟
总结1分钟

64篇阅读材料总计383分钟

识别恶意活动简介2分钟
主题介绍10分钟
主题介绍2分钟
零信任员工保护4分钟
零信任工作量保护6分钟
零信任工作场所保护措施5分钟
零信任模式安全愿景2分钟
主题介绍4分钟
剧本小子1分钟
黑客活动家3分钟
有组织犯罪3分钟
国家支持的/民族国家行为者5分钟
内部威胁4分钟
主题介绍12分钟
网络攻击建模5分钟
系统日志1分钟
日志文件位置和日志文件3分钟
配置系统日志3分钟
选择器语法3分钟
动作语法10分钟
Windows 事件查看器4分钟
防火墙日志10分钟
DNS 日志12分钟
网络代理日志12分钟
电子邮件代理日志10分钟
AAA 服务器日志4分钟
下一代防火墙日志10分钟
应用日志4分钟
网络流12分钟
网络流7分钟
参考资料2分钟
作为安全工具的 NetFlow7分钟
作为传感器的 Networking10分钟
作为安全工具的 NetFlow 示例10分钟
网络行为异常检测10分钟
使用 NetFlow 检测数据丢失示例13分钟
DNS 风险与缓解工具7分钟
快速流动和 Botnet10分钟
双 IP 流量2分钟
域名生成算法10分钟
IPS 规避技术1分钟
流量碎片10分钟
流量替换和插入10分钟
加密和隧道技术3分钟
协议层面的误读5分钟
资源枯竭1分钟
定时攻击1分钟
洋葱路由器6分钟
Tor Relay10分钟
检测 Tor 流量7分钟
获取 Accessibility 和控制权10分钟
Nyetya Ransomware 事件5分钟
Peer-to-Peer 网络1分钟
BitTorrent 应用程序5分钟
P2P 文件共享的风险5分钟
Botnet4分钟
检测恶意 Encryption P2P 流量5分钟
封装7分钟
DNS 隧道10分钟
其他隧道7分钟
更改的磁盘映像2分钟
软件图像验证10分钟
安全启动3分钟
总结1分钟

24个作业总计124分钟

了解 Networking 设计实践测验30分钟
零信任模式实践测验2分钟
日志数据搜索练习测验5分钟
实践测验4分钟
系统日志练习测验3分钟
防火墙日志练习测验3分钟
DNS 日志练习测验2分钟
网络代理日志练习测验3分钟
电子邮件代理日志练习测验3分钟
AAA 服务器日志练习测验3分钟
下一代防火墙日志练习测验0分钟
应用日志练习测验4分钟
Netflow 实践测验3分钟
作为安全工具的 NetFlow 实践测验4分钟
网络行为异常检测练习测验3分钟
使用 NetFlow 检测数据丢失示例练习测验3分钟
DNS 风险与缓解工具练习测验3分钟
IPS 规避技巧练习测验3分钟
洋葱路由器实践测验3分钟
获取访问权限和控制权》练习测验2分钟
Peer-to-Peer Networks 练习测验3分钟
Encapsulation 练习测验3分钟
更改的磁盘映像2分钟
识别恶意活动30分钟

1个讨论话题总计10分钟

学员介绍10分钟

如果您是一名在安全 Operations Center 工作的助理级网络安全分析师，本课程将帮助您识别可疑行为模式。课程结束后，您将能够- 解释基线化网络活动的目的 - 解释如何使用已建立的基线识别异常和可疑行为 - 解释执行 PCAP 分析的基本概念 - 解释使用 Sandbox 执行文件分析 - 使用 Security Onion 中的工具调查可疑活动。要成功学习本课程，您应具备以下背景： 1. 与 "实施和管理思科解决方案（CCNA）"v1.0 课程中所学到的技能和知识相当 2.熟悉以太网和 TCP/IP 网络 3.熟悉 Windows 和 Linux 操作系统 4.熟悉 Networking 安全概念的基础知识。