My road to BTL1
Si vienes a buscar spoilers del examen, no habrá nada en este artículo que pueda apoyarte ya que no estaré divulgando información que incumpla las políticas de Security Blue Team, no es ético divulgar información o atajos para que puedas certificarte, ya que no hay mejor satisfacción investigar y esforzarte para poder acreditar la certificación BTL1.
Una cosa es apoyar u orientar y otra cosa esperar respuestas para copiar y pegar.
Why BTL1? » SECURITY BLUE TEAM
Material/contenido del curso
300 LESSONS, VIDEOS, TESTS AND HANDS-ON ACTIVITIES
4 Months ACCESS TO THE TRAINING MATERIAL
Requisitos:
0-2 años de experiencia en IT/Seguridad (en dado caso no cumplas con el tiempo que se indica de experiencia, no lo veas como un impedimento, tenlo como un reto, ya que es probable que esas ganas por aprender superen el tiempo que se requiere)
¿Qué aprenderás?
Análisis y respuesta a ataques de phishing
Realización de investigaciones forenses para recopilar y analizar evidencia digital
Uso de una plataforma SIEM para investigar actividades maliciosas
Análisis de tráfico de red y registro, incluidas las infecciones de malware
Realización de investigaciones de actores de amenazas
y mucho más!
¿PARA QUIÉN ES EL CURSO?
BTL1 es perfecto para entusiastas de la seguridad o profesionales que desean desarrollar sus habilidades cibernéticas defensivas de manera practica
PROCESO DE CERTIFICACIÓN
Puedes comenzar tu examen práctico de respuesta a incidentes de 24 horas inmediatamente después del curso BTL1 cuando te sientas listo. Los estudiantes tendrán acceso a un laboratorio en la nube a través de una sesión en el navegador durante un período de hasta 12 horas y deberán completar la plantilla de informe proporcionada. Los estudiantes tendrán 12 horas adicionales una vez que su acceso al laboratorio haya expirado si necesitan más tiempo para terminar su informe.
Una vez que el estudiante haya enviado con éxito su informe, revisaran lo enviado y avisaran al estudiante si se ha aprobado o fallado en la prueba dentro de los 30 días, (por lo regular son bastante rápidos en este proceso)
Si los estudiantes no pasan el examen, se les permitirá un vale para presentar de nuevo de manera gratis, aparte de haber conseguido experiencia, tendrás esa oportunidad extra para volver a presentar, en dado caso vuelvas a reprobar tendrías que revisar costos de un nuevo voucher para presentar y que requisitos cumplir por los periodos de tiempo que tienes que dejar pasar entre una prueba fallida y otra. ( te recomiendo eso lo revises puntual porque en el tiempo que leas esto pudiese cambiar)
¿Lo recomiendo, y por qué?
Antes de empezar con mi recomendación, si estás pensando en comprar este curso, sin duda alguna cómpralo, si eres de Recursos Humanos o tienes la decisión de apoyar al equipo técnico con la aprobación de este curso para que puedan reforzar o desarrollar nuevos skills, hazlo, el retorno de inversión será por encima de lo invertido ya que los equipos defensivos al ser la primera línea de defensa necesitan estar capacitados y esta certificación créeme que les ayudara bastante en ese proceso.
Sin duda alguna a pesar que me he capacitado en algunas certificaciones del equipo opuesto jaja, del equipo ofensivo, siempre he tenido el interés también por seguir aprendiendo o desarrollando nuevos skills como por ejemplo el análisis de tráfico con Wireshark, con NetworkMiner u otras herramientas similares, lo realizaba desde hace mucho cuando hacia troubleshooting en mi tiempo que trabaje en un Security Operation Center, aunque ahí el tráfico que validaba era web, me ayudó mucho a entender las peticiones, que protocolos se usaban en la comunicación, la resolución de los dns, los timestamp etc y muchas otras cosas de que hablar cuando se hace una captura de tráfico, poco a poco fui aprendiendo de esta herramienta que inclusive leí varios libros en su momento y practique mucho , me gustaba aprender de casos en Malware-Traffic-Analysis.net que era la manera de entender las capturas de tráfico con actividad maliciosa, estuve suscrito en el training que tiene Laura Chappell en su sitio web Chappell University | Wireshark Training (chappell-university.com)
( tengo un artículo que de hecho hablo sobre wireshark)
La revisión de phishing emails, incursionar en el mundo de revisar lo que sucede en los correos , las cabeceras del correo y como analizarlo ayuda bastante primero entender como funciona el correo, de ahí comprendes que investigar, de donde viene, de que cuenta de correo, la IP de origen , las plantillas en el cuerpo del correo que links tiene como tal para direccionarte, los reply to etc.
Esta tarea era algo que solía hacer de la mano de un antispam en su momento cuando mi rol era trabajar en el SOC, por lo que ya tenía previa experiencia pero el curso BTL1 me ayudo a aprender nuevas cosas e inclusive conocer herramientas para el análisis que en aquellos años no conocía PhishTool, de hecho aprendí mucho para poder hacer un reporte de manera clara y concisa para este tipo de notificaciones.
Para la parte del SIEM me ayude del curso de Fundamentals Splunk 7.x y de estar practicando con Boss of the SOC (BOTS) Dataset Version 1
Para la parte de forense digital corrí con suerte de haberme suscrito gratis al curso de Autopsy Basics and Hands-on 8 hours por lo cual reforcé algunos temas y estuve también aprendiendo más del tema con los cursos de Alonso Caballero, pueden consultar con el todos los cursos disponibles que tiene, les dejo su LinkedIN.
Alonso Eduardo Caballero Quezada | LinkedIn
Antes de eso ya había estado en una curso/certificación de forense digital por lo cual tenía un poco de conocimiento al respecto con algunas herramientas y junto con la experiencia actual que he aprendido en tema ofensivo, considero que es la combinación ideal para cuando llegara el momento del examen saber dónde/que investigar, lo que pudiera identificar, como moverme, lo que pudo haber pasado en el ataque/incidente…
Para la parte del SIEM SOC (BOTS) Dataset Version 1 me ayudó mucho el cómo ir indagando en un caso con los videos de Sam Bowne, sin duda alguna me ayudaron bastante y hay mucho otro contenido que el sube en su canal de YouTube que sin duda muy recomendable.
En resumen esta certificación no fue obtenida en semanas o meses, ha sido una trayectoria desde antes que he venido aprendiendo metodologías, desarrollando experiencia al momento de investigar, de tener ciertos escenarios posibles gracias también a lo que he aprendido en el lado ofensivo, por lo que no es para desanimar, es para comentar que esta certificación/examen no es fácil, para que no sea tomado el examen a la ligera, no es un examen de opción múltiple para responder jaja, es un examen en donde pruebas tus skills, en el cual estas investigando con un tiempo acotado a 12 horas, y 12 horas para entregar tu informe, así que repito, no lo tomes a la ligera.
El examen es muy entretenido y ayuda mucho literal ponerse la camiseta de alguien de respuesta a Incidentes.
Espero y lo disfrutes como lo disfrute yo, cualquier comentario o duda que pueda apoyar con gusto lo hare, escribo esto en español porque me es más fácil describirlo como es y no tener que traducirlo jaja, pero si estas leyendo esto y solo hablas ingles sin problema me puedes escribir para apoyarte en dado caso tengas alguna duda.
- https://securityblue.team/download/46322/ (Brochure del curso)
El material del curso es muy bueno, si te estás preguntando si con el material del curso vas a aprobar, puede que si , puede que no , es algo complejo de responder, depende mucho de la experiencia previa, de las horas que inviertas para practicar lo del curso. En mi caso comentaba que ya tenia cierta experiencia pero aun asi inverti mas horas de las que cubría el curso para indagar mas en temas que en el curso si me quedaba claro pero queria investigar mas, conocer mas del tema, practicar mas etc, por lo cual no es que el curso no tenga la informacion requerida para aprobar, es que tampoco puede ser tan extenso por que tanto contenido abruma y pudiera ser poco viable su seguimiento y te perderías en el intento al haber tanto material, por lo que el material con el que se cuenta del curso es bueno, amplio e incluso hay ciertos links que ellos mismos colocan para profundizar en ciertos temas.
Recordar que este curso es el BTL1, el primer nivel, pronto vendrá el BTL2 por lo que ahi claro esta que se va profundizar a otro nivel mas avanzado ;)