[NEW] GIAC Certified Intrusion Analyst (GCIA)

أهلا بك عزيزي المتابع لموقع (journey for learn) نقدم دورات بكوبونات متاحة لاول 1000 تسجيل مجاني فقط وكوبونات اخري لفترة محدودة فاذا كنت تريد ان تحصل علي كل الكورسات علي موقعنا وان تكون اول المسجلين في الكورسات المجانية قم بتسجيل الدخول أوقم بالدخول علي وسائل التواصل الاجتماعي وخصوصا التليجرام نوضح الوصف المختصر والطويل للدورات لكي تعرف الدروس التي سوف تتعلمها بسهولة ويسر :

تغطية تفصيلية لنطاق الاختبار: يتحقق اختبار محلل التطفل المعتمد (GCIA) من GIAC من قدرتك على مراقبة حركة مرور الشبكة، وتحليل البيانات، واكتشاف عمليات التطفل النشطة. للتأكد من أنك تعرف بالضبط ما يمكن توقعه، تغطي دورة الاختبار التدريبي هذه بدقة جميع مجالات الاختبار الرسمية:

• تحليل حركة مرور الشبكة (30%): التقاط الحزم وتحليلها (PCAP)، تشريح البروتوكول (TCP/IP، UDP، ICMP)، تحليل بروتوكول طبقة التطبيق (HTTP، DNS، SMTP)، وتحديد نمط حركة المرور، واستخدام أدوات التحليل (Wireshark، tcpdump، SiLK).
• نظام كشف التسلل (IDS) التكوين والإدارة (25%): إنشاء قواعد IDS وضبطها (Snort وZeek)، وتطوير التوقيع، واستراتيجيات نشر أجهزة الاستشعار، وجمع السجلات، والارتباط، ومراقبة الأداء.
• استخبارات التهديدات وإسنادها (20%): أساسيات تحليل البرامج الضارة، واستخراج مؤشر الاختراق (IOC)، وتحديد هوية الجهات الفاعلة في التهديد، وتحديد ناقل الهجوم، وتكامل موجز التهديدات.
• الاستجابة للحوادث والطب الشرعي (15%): إجراءات التعامل مع الحوادث، والشبكة جمع البيانات الجنائية، والحفاظ على الأدلة، وتحليل السبب الجذري، والتوثيق.
• الطب الشرعي للشبكة وإعداد التقارير (10%): تحليل بيانات التدفق (NetFlow، IPFIX)، وارتباط السجل متعدد المصادر، وإعادة بناء الجدول الزمني، واعتبارات الامتثال.

وصف الدورة التدريبية عندما بدأت التحضير لشهادات الأمن السيبراني الخاصة بي، كان العثور على أسئلة تدريب واقعية عالية الجودة تعكس في الواقع صعوبة الاختبار أمرًا محبطًا للغاية. لقد قمت ببناء هذه الدورة التدريبية التجريبية لامتحان GIAC Certified Intrusion Analyst (GCIA) خصيصًا لحل هذه المشكلة. يتخطى بنك الأسئلة هذا الأسئلة العامة ويركز بشكل كبير على الكفاءات الأساسية والعملية المطلوبة لتحليل بيانات الشبكة واكتشاف عمليات التطفل في العالم الحقيقي. ستعمل من خلال سيناريوهات معقدة تتضمن تحليل PCAP وتشريح البروتوكول وتطوير التوقيع. من خلال إجراء هذه الاختبارات الوهمية، سوف تحصل على تدريب عملي على تشريح بروتوكولات طبقة التطبيق باستخدام Wireshark، وضبط قواعد Snort وZeek IDS، وإعادة بناء الجداول الزمنية للهجوم باستخدام بيانات NetFlow. لقد صممت هذه الاختبارات لكشف الفجوات المعرفية لديك قبل يوم الامتحان. يتضمن كل سؤال شرحًا شاملاً يوضح بالضبط سبب كون الإجابة الصحيحة صحيحة، وبنفس القدر من الأهمية، لماذا تكون الخيارات الأخرى خاطئة. هدفي هو تزويدك بأدق المواد الدراسية الممكنة حتى تتمكن من الدخول إلى مركز الاختبار بثقة واجتياز محاولتك الأولى. معاينة أسئلة التدريبالسؤال 1: تحليل حركة مرور الشبكة يقوم أحد المحللين بمراجعة التقاط الحزمة (PCAP) ويلاحظ إرسال حزمة TCP إلى خادم الويب (المنفذ 80) مع تعيين علامات FIN وPSH وURG في وقت واحد. ما نوع النشاط الذي يشير إليه نمط حركة المرور هذا على الأرجح؟

• الخيار أ: تسلسل TCP قياسي يبدأه العميل.
• الخيار ب: فحص XMAS يحاول تعيين منافذ مفتوحة على الخادم.
• الخيار ج: فحص NULL يحاول تجاوز جدار حماية عديم الحالة.
• الخيار د: رسالة استمرار TCP مرسلة بواسطة موازن التحميل.
• الخيار E: نقل ملف HTTP نشط باستخدام علامة PSH لمسح المخزن المؤقت.
• الخيار F: استجابة SYN-ACK تشير إلى اتصال نصف مفتوح.

الإجابة الصحيحة: الخيار B الشرح العام: مجموعة إشارات FIN وPSH وURG معًا هي السمة المميزة لفحص TCP XMAS. يستخدم المهاجمون هذه التقنية لمعالجة مكدس TCP للنظام المستهدف لتحديد ما إذا كان المنفذ مفتوحًا أو مغلقًا أو تمت تصفيته.

• الخيار أ غير صحيح: يستخدم تفكيك TCP القياسي علامتي FIN وACK، وليس FIN وPSH وURG معًا.
• الخيار B صحيح: يؤدي تعيين إشارات FIN وPSH وURG في نفس الوقت إلى إضاءة الحزمة "مثل شجرة عيد الميلاد"، وهو التعريف الدقيق لفحص XMAS المستخدم في استطلاع الشبكة.
• الخيار C غير صحيح: يتميز الفحص NULL بعدم وجود أي علامات TCP على الإطلاق.
• الخيار D غير صحيح: تستخدم رسائل البقاء على قيد الحياة عادةً علامات ACK بدون حمولة أو مقاطع فارغة، وليس مجموعة شاذة من FIN وPSH وURG.
• الخيار E غير صحيح: بينما يتم استخدام PSH لدفع البيانات إلى طبقة التطبيق أثناء عمليات النقل، لا يتم دمجها مع FIN وURG. أثناء نقل البيانات النشطة.
• الخيار F غير صحيح: ستحتوي استجابة SYN-ACK فقط على علامتي SYN وACK المعينتين أثناء الخطوة الثانية من المصافحة الثلاثية لـ TCP.

السؤال 2: تكوين IDS وإدارته أنت تكتب قاعدة Snort لاكتشاف هجوم اجتياز دليل محدد يهدف إلى ملف /etc/passwd عبر طلب HTTP GET. أي من خيارات قاعدة Snort التالية هي الطريقة الأكثر كفاءة ودقة لفحص URI لهذه السلسلة الضارة؟

• الخيار أ: content:"/etc/passwd"; http_client_body;
• الخيار ب: المحتوى:"/etc/passwd"; http_header;
• الخيار ج: المحتوى:"/etc/passwd"; http_uri;
• الخيار د: uricontent:"/etc/passwd"; nocase;
• الخيار E: pcre:"/\/etc\/passwd/"; http_cookie;
• الخيار F: المحتوى:"/etc/passwd"; العمق:11;

الإجابة الصحيحة: الخيار ج الشرح العام: عند كتابة قواعد Snort لحركة مرور HTTP، فإن استخدام معدّلات HTTP يضمن أن محرك الكشف يبحث فقط في المخزن المؤقت المحدد حيث من المتوقع وجود حمولة ضارة. يؤدي هذا إلى تحسين الأداء بشكل كبير وتقليل النتائج الإيجابية الخاطئة.

• الخيار أ غير صحيح: يقوم معدِّل http_client_body بفحص نص الحمولة الصافية للطلب (مثل طلب POST). يتضمن طلب GET المسار الهدف في URI، وليس نص العميل.
• الخيار B غير صحيح: يقوم معدِّل http_header بفحص رؤوس HTTP (مثل وكيل المستخدم أو المضيف)، وليس مسار URI الفعلي المطلوب.
• الخيار C صحيح: يقيد معدِّل http_uri البحث على وجه التحديد إلى المخزن المؤقت URI الذي تمت تسويته، مما يجعله الطريقة الأكثر كفاءة ودقة لاكتشاف سلسلة اجتياز الدليل في طلب GET.
• الخيار D هو غير صحيح: على الرغم من أن uricontent صالح في الإصدارات الأقدم من Snort، فإن أفضل ممارسات Snort 2.x و3.x الحديثة تملي استخدام المحتوى المقترن بمعدِّل http_uri. بالإضافة إلى ذلك، فإن مسارات ملفات UNIX حساسة لحالة الأحرف، لذلك قد يؤدي nocase إلى سلوك غير متوقع.
• الخيار E غير صحيح: يستخدم هذا الخيار PCRE للبحث في المخزن المؤقت http_cookie. السلسلة الهدف موجودة في URI، وليست ملف تعريف الارتباط.
• الخيار F غير صحيح: استخدام العمق:11 يقيد البحث بأول 11 بايت من الحمولة بالكامل. في طلب HTTP GET، يُسبق معرف URI بالطريقة (على سبيل المثال، GET )، لذلك من المحتمل أن تقع السلسلة /etc/passwd خارج أول 11 بايت.

السؤال 3: الاستجابة للحوادث والطب الشرعي أثناء مشاركة الاستجابة للحوادث، تقوم بتحليل سجلات NetFlow v9 لتحديد عملية استخراج البيانات. أنت تشك في أن مضيفًا داخليًا يرسل كميات كبيرة من البيانات إلى عنوان IP خارجي مدرج في القائمة السوداء. ما هي حقول NetFlow المحددة الأكثر أهمية لتأكيد حجم واتجاه البيانات المسحوبة؟

• الخيار أ: عنوان IP المصدر، وعنوان IP الوجهة، وإشارات TCP.
• الخيار ب: عنوان IP المصدر، وعنوان IP الوجهة، والبايتات (IN_BYTES / OUT_BYTES)، والحزم.
• الخيار ج: وقت بدء التدفق، ووقت انتهاء التدفق، وIP للخطوة التالية.
• الخيار د: عنوان MAC المصدر وعنوان MAC الوجهة ومعرف VLAN.
• الخيار E: نوع الخدمة (ToS) والبروتوكول ومنفذ المصدر.
• الخيار F: رقم النظام المستقل (AS) وواجهة الإدخال وواجهة الإخراج.

الإجابة الصحيحة: الخيار B الشرح العام: NetFlow هو معيار لمراقبة تدفقات حركة مرور الشبكة. لتحديد ما إذا كان قد حدث تسريب للبيانات، يجب أن ينظر المحلل إلى من تواصل مع من (عناوين IP) والكمية الدقيقة للبيانات المنقولة (البايت).

• الخيار أ غير صحيح: في حين أن إشارات TCP مفيدة لفهم حالة الاتصال (على سبيل المثال، إذا تم تأسيسها)، إلا أنها لا تشير إلى حجم البيانات المنقولة.
• الخيار ب صحيح: يؤكد عنوان IP المصدر وعنوان IP الوجهة على اتصال المضيف الداخلي بعنوان IP الخارجي المدرج في القائمة السوداء. توفر حقول البايتات والحزم قياسًا كميًا دقيقًا لكمية البيانات التي تم إرسالها، مما يؤكد حجم عملية الترشيح.
• الخيار C غير صحيح: تعد أوقات البداية والنهاية حاسمة لإنشاء مخطط زمني، كما أن معلومات توجيه Next-Hop مفيدة لهندسة الشبكة، ولكنها لا تؤكد حجم البيانات التي تم ترشيحها.
• الخيار D غير صحيح: توفر عناوين MAC ومعرفات VLAN فقط معلومات الطبقة الثانية المحلية، مما لا يساعد في تتبع حجم البيانات التي تعبر المحيط إلى عنوان IP خارجي.
• الخيار E غير صحيح: تحدد شروط الخدمة والبروتوكول (على سبيل المثال، TCP/UDP) ومنفذ المصدر نوع حركة المرور، ولكنها تفتقر إلى الحقول الكمية اللازمة لإثبات حركة البيانات الضخمة.
• الخيار F غير صحيح: تعد أرقام AS ومقاييس الواجهة مفيدة لتشخيص التوجيه المحيطي ولكنها لا تحدد بشكل مباشر حجم بيانات الجلسة بين نقطتي نهاية محددتين.

• مرحبًا بك في أكاديمية Mock Exam Practice Tests Academy لمساعدتك في الاستعداد لامتحان GCIA الخاص بك.
• يمكنك إعادة إجراء الاختبارات عدة مرات كما تريد
• هذا بنك أسئلة أصلي ضخم
• يمكنك الحصول على دعم من المدرسين إذا كانت لديك أسئلة
• يحتوي كل سؤال على شرح مفصل
• متوافق مع الهاتف المحمول مع تطبيق Udemy

آمل أن تكون مقتنعًا الآن! وهناك الكثير من الأسئلة داخل الدورة.

ما هي المتطلبات الأساسية لدخول الدورة والتسجيل فيها على موقعنا؟ رحلة التعلم:

(احصل على الدورة للدخول إلى الموقع والتسجيل)

يجب أن يكون لديك بريد إلكتروني (حساب بريد) تتذكره لنفسك وأيضًا يجب أن تتذكر كلمة مرور البريد الإلكتروني الذي ستسجل به ، وإذا لم يكن لديك حساب بريد إلكتروني ، فمن الأفضل إنشاء حساب (Gmail)