前言

為何參加

這幾年看到國內公司 Devcore 一直推這個課程,只是以前以為只有 OSCP <— 紅隊的課程,因為公司業務性質不是紅隊,比較難跟主管說要去上,就一直擱著

但今年去 Offsec 官網才知道原來有一些是藍隊的課程,主要看到有 3 個:

  • OSDA (SOC)
  • OSIR (IR)
  • OSTH (Threat Hunting)

網路上的心得找了一下之後,還有聽周遭人分享,似乎最難的是 OSDA ,大概看一下課綱是透過 SIEM 找 Log ,網路評論大概是

  • 有人說 OSDA 是籃隊裡面的 OSCP ,但也有人說比 OSCP 難,不過考過 OSCP 的人說 OSDA 很簡單
  • 覺得花錢學的 SIEM 是 ELK 不是 Splunk 不太好
  • 有人覺得這堂課超棒

而對我來說,我的工作比較多是拆惡意程式寫情資報告,但今年比較多被叫出去查找外部企業受駭,需要到對方公司,做現場鑑識調查

而且場景是你要直接操作對方電腦,在短短的一天中,可能要看數十 or 數百的機器是否有惡意

雖然公司也有買一些 EDR 可以部署後,進行掃描再看結果,但我們仍需要一台一台下去操作,在短時間跟對方報告看到的內容

這邊會有幾個點

  • 需要不安裝在對方電腦的軟體輔助
    • Sysinternals
    • 自己寫的玩具
  • 因為不能直接在對方電腦上安裝東西,所以寫的程式就會需要是 Windows 預設就有,也就是 Powershell or VBScript 這些

扣除目前公司業務上,近來看一下職缺好像 SOC 工作比較多,雖然也不是未來就想轉走 SOC ,
但想到我自己比較沒有操作 SIEM 的心得,看了一下課程綱要,這堂課似乎蠻符合我的需求

相似的產品 Trapa

取自 trapa 官方網站

我們公司有購買這家公司的產品,作為教育訓練的一個環節

裡面是採用 MITRE ATT&CK 過去舉辦的 evaluation 的腳本,需要使用他們提供的 SIEM (Splunk) 進行調查,並提交 Flag

所以是一個藍隊的 CTF 平台,並且是以教育性質為導向,所以她的每一個題目都會有引導你並給你線索找尋攻擊痕跡的部分

國內以前 CCoE 考試也是採用 Trapa 的平台作為測試的環境

而 OSDA 我認為跟 Trapa 基本是雷同的,整理一些差異點

  • SIEM 不同
    • Trapa 使用 Splunk
    • OSDA 使用 ELK
  • 考試題目
    • Trap 用過去 MITRE 競賽提供的內容
    • OSDA 沒有具體線索可以參考使用哪個駭客攻擊方式
  • 拿分數的方式
    • Trapa 採用 CTF 提交 Flag 的方式
    • OSDA 是寫報告,人工看報告評分
  • 難易度
    • Trapa 算是教育平台,所以比較有引導的部分,相對簡單
    • OSDA 沒有給任何方向,就是大海撈針,符合現實場景,相對偏難

報名時間 & 費用

我是跟恆逸教育訓練中心 購買線上課程

我買的是線上課程觀看 3 個月 + 一次考試機會 (沒人教你,純自己看教材),費用: 57570

不過後面聽人說,好像去 Devcore 買比較便宜,未來如果有人想買且不及的話,可以等兩個日子看看有無特價促銷

  • 台灣資安大會: 每年舉辦時間:4 ~ 5 月
  • HITCON CMT: 每年舉辦時間:8 月

今年 8 月看到 Devcore 促銷只要 43000 台幣,不過我是透過公司報帳,所以還好

如果未來要自己出錢上課,可能會想等 Devcore 開促銷去買

上課

線上課程

課程內容分 2 部分

  1. 基礎知識 + 教你用他寫好的十幾個攻擊腳本打完後,如果不透過外部工具做調查: 80%
  2. SIEM 調查: 20%

考試只考 SIEM ,所以會有人覺得前面 80 % 不看,僅看最後兩個章節就夠了

這部分見仁見智,如果是想要趕快考到證照,然後有一定資安基礎的話,我甚至覺得都可以不用看課程,直接下去做 Challenge Lab 就好

但她前面 80 % 內容,私心覺得寫得很棒,也對我現在出去做鑑識調查有幫助,我是有一些想要開發的工具,然後想導入 AI 進行,上完課程是多了一些其他想法,推薦時間足夠可以認真看完

遇到困難求幫助

建議一定要加入官方的 Discord ,然後綁定帳號之後就會把你加到隱藏群組,在裡面就可以問課程 Lab 問題,也可以看別人問的問題

尤其裡面還有講師分享她的 SIEM Dashboard ,我覺得直接抓下來部署到 Challenge Lab ,難度瞬間降到底部,非常棒,推薦一定要入 Discord 看大家討論以及抓一些講師分享的東西

而且有問題基本上一天之內都會得到回覆,看以前大家對題目的討論也很有幫助

因為我是線上自學,所以覺得有這個 Discord 可以問講師是很棒的地方,雖然我只有問她寫報告想用外部 Github 可不可以,而沒問其他東西 (因為過去大家問的問題就夠多了)

如何準備考試

課程給的學習資源就夠了,不用額外找資料,有觀念不懂現在問 AI 都很容易理解

課程教材是否學習我覺得還好,對於我工作是很有幫助,考試的話建議要去練 Challenge ,尤其是 Challenge 13 ,網路一堆說他跟考試環境最像

然後課程很貼心的有錄製一下講師去解 Challenge 的影片,建議可以多少看一下,也就是下圖圈起來的課程

整個課程有兩種 lab

  • module lab
  • challenge lab

module lab 跟考試無關,但跟現實工作我認為有用

如果是單純想要考證照,直接開始練 challenge lab 即可

報名考試

上官網如下圖的位置點選進去,選擇要的時間之後會收到信說你成功

買 3 個月的學習並不需要 3 個月內去考試,考試可以有 6 個月的準備期,像我 2025.07.04 開始上課,但可以拖到隔年再安排考試

然後這邊有幾個要注意

  • 個人資料上面名字需要跟護照一樣,考試的時候要出示護照
  • 關注自己的信箱,官方會寄後續跟考試相關的事情,包含如何登入監考畫面,以及登入的帳號密碼
  • 考前 48 小時可以安排別的時間段考試

準備考試環境

  1. 攜帶護照
  2. 房間不可以有其他人,考試當下要讓遠端監考官能看你考試房間全部,所以如果用電腦內建鏡頭,需要扛著電腦走來走去
  3. 清除考試房間部不必要的電子裝置
  4. 考試時間是 UTC 時間,所以把 Kali linux 設置為 UTC 時間會更容易看出攻擊發生的時間

考試規範

參考自官方寫的內容

考試時間

考試共有 48 小時

  • 前 24 小時:有人遠端監考,你需要在時間內進行調查,盡可能多的截圖
  • 後 24 小時:不會有人監考,寫報告並上傳到官方網站

如果前 24 小時提早考完,可以跟講師說,但這就會變成直接進入下半場,也就是後 24 小時的寫報告時間

所以一般人不會想前 24 小時提早結束,因為這樣才可以預留給自己休息時間

考試有 10 個攻擊階段,每個階段最高 10 分,滿分 100 分,需要 75 分才能通過

考試要求

考試分 10 個攻擊階段,每個階段會有一系列的攻擊過程,需要透過 SIEM (ELK) 盡可能截圖來佐證你有偵測並理解攻擊者行為,攻擊者行為舉例:枚舉、暴力破解、提權等

報告要求

  • 寫報告不可以仰賴 AI 撰寫 (聊天室中,講師有補充提到這點)
  • 提交報告之後就不能再更改
  • 合格的報告應該包含
    • 收集到的所有證據
    • 對於攻擊者技術的總結
    • 每個階段看到的攻擊活動
    • 使用那些 KQL 識別攻擊者行動
    • 敘述攻擊者在每個攻擊階段獲取的網路存取權限類型
  • 報告要詳細到別人可以根據你的內容重現整個調查過程

考試限制

  • 不可以使用 AI 工具,但內建有 AI 功能的 Notion 可以用 (建議這部分要持續關注官方政策有無更改)
    • 我私信重複確認是可以用 notion (時間: 2025.09.01)
  • 可以使用 Google 搜尋,雖然現在會跳出他們用 AI 幫你直接總結內容,但這部分是允許的
  • 無法登入題目內的任何機器,僅只能操作 SIEM 做調查 (KQL, OSQuery)
  • 可以在考試期間用 Discord 找資料,但不可有跟任何人對話的視窗,抓到就完了

常見問題

VPN 連線 OR 目標機器連線問題

直接在監考軟體詢問告知,如果無法存取監考工具,則透過網路即時聊天: https://chat.offsec.com/

可否睡覺

可以,只要在監考軟體聊天室窗說一聲,不用等監考官回就可以去睡了

回來做題目的時候也要在監考軟體上說一聲

如果考試期間網路斷線,則考試 VPN 也會斷掉,只有當重新加入考試,VPN 才會重新啟用

考試期間問題可以問客服

看的到 OR 聽的到監考人員嗎

網路監控僅視覺監控,監考人員聽不到聲音,你也看不到監考人員

如何提前結束考試

  1. 透過聊天通知監考人員

OR

  1. 直接點監考工具頁面上的「結束考試」按鈕

結束之後,VPN 會中斷,無法再繼續連接

監考軟體中斷該怎辦

清除瀏覽器的 Cache ,或嘗試用其他瀏覽器,並重新啟動監考工作階段,重新連線後需要告知監考人員應用程式已經停止回應,而你剛重新啟動

一直有問題可以聯絡即時聊天
or
可以提交協助請求

他人的 Blog 心得

摘要整理

整理一下我看得他人 blog 筆記

  • 考試環境不是很穩定,如果找不到對應的 log ,直接重置環境,只是重置要花十多分鐘,很浪費時間
  • 聽說有人寫了 25 頁報告就過了,但也有人寫了近 100 頁,然後圖片貼 100 張以上
  • 每次找到線索的時間記錄一下,這是防止之後你發現某個攻擊痕跡漏掉,重置環境又要重頭開始找,很浪費時間
  • 每個攻擊階段找到的事件不是固定的,有可能只有一個或很多,如果找不到別的就先往下一個攻擊階段找
  • 考試不是考偵測規則的撰寫,只需要把找到的攻擊者的手法寫清楚,然後要有你使用的 KQL 跟截圖就可以了,不用把每個 KQL 都寫上,稍微複雜且有多個過濾和限定條件的補上就行
  • 有 10 個攻擊給你點,不能重複點,然後建議點完攻擊要等 10 分鐘左右再點下一個,記得紀錄一下時間
  • 攻擊的前後順序是有連續的,建議睡前弄完,因為睡後會記憶中斷
  • 考試環境會給一些預設的偵測規則,這算是一種提示
  • 強烈建議每次啟動攻擊,都要記錄當下時間,因為每個攻擊階段是你去點了才進行,所以如果之後重置環境,你會拿到很怪的時間線 (比如第七個攻擊階段發生的時間早於第三個攻擊階段)
  • 大多數人都不用官方提供的 word 報告,而是改用 markdown 去寫,然後課程講師也是用 obsidian 筆記軟體寫 markdown
  • 考試環境是 AD 環境 [6]
  • 建議練習 Challenge Lab 時,記錄自己用的偵測規則,考試時是有幫助的
  • OSDA 需要進行一定的推測,也就是你拿到線索要思考可能在幹嘛,並以此為基礎去調查
  • 不推薦 Safari 瀏覽器,唯一推薦 Chrome ,或也可以安裝 Firefox [8]
  • 有可能攻擊後,卻無 log 產生,如果跟考官說無攻擊 log 會不理你,但要求他們調查測試環境,他們會接受 [8]
  • 先用自己的國家語言寫報告,之後用翻譯軟體翻譯 [8] [9],推薦 deepl [9]

參考的連結