OffSec蓝队课程IR-200及OSIR考证之旅

TL；DR

• 近期参加了OffSec蓝队方向应急响应相关的学习课程IR-200，以及参加了OSIR认证并获取了证书，在整个过程中感觉还是学到了很多应急方面的知识技能，简单总结一下这次的OSIR学习和考证之旅供大家参考。
• 因为这个认证课程是在24年10月份左右推出，不像网上一些其它课程参考资料和经验文章那么多，OSIR认证相关的文章网上基本上没有，国外目前有这个证书的人不多，国内估计更少，所以能获取的外界帮助几乎没有，又因为这次是第一次参加OffSec的学习和认证，必然是一场艰难的踏冰之旅。

IR-200学习

• 购买课程之后可以获取官方教材在线查看或者离线下载到本地进行查看，一共372页，包含以下的章节。
• 在拿到官方学习教材之后查看了大纲之后按顺序进行了学习，其中有些英文等都不太懂，这个时候可以下载一些辅助工具(比如谷歌的沉浸式翻译插件)来进行翻译，大大提升了学习效率。前面几个章节主要是理论概念知识的学习。比如安全事件的管理流程(这个课程主要遵循的是NIST标准)
  还比如应急响应沟通的重要性及一些规范
• 在介绍这些理论概念的时候也会结合具体的实际案例让学习者更加清楚直观的去感受。其中第六章和第八章是考试的重点，学习到的工具有splunk、autospy、procmon、tcpview、volaitlity、pestudio、RSA NetWitness、IRIS、response kit等。其中有些之前接触过，有些没接触过学下来之后增加了自己对事件响应的了解以及一些新领域的学习。尤其是取证这块儿(离线成像、在线成像、远程成像、虚拟机成像)，国内对这块儿做的比较少。当然在第六、八章节中会有几个在线实验环境，需要使用vpn连接进行学习，国内直连有问题浪费了一些时间，但可以看出课程开发人员还是花费了心思。尤其是使用splunk做日志关联分析，国内大部分的应急响应都是基于单机、跨机器或者日志不完整，很多时候也没有这样的机会去实践，所以说我觉得这个才整个课程的一大亮点，并且随着未来各个中小公司普及使用SIEM，必然需要大量具备这样技能的人才。

• 剩下就是遏制、根除、恢复和跟踪总结阶段的工作内容、事件管理、报告编写等内容，也能学到不少干货。其中比如在事件管理协同平台IRIS，这款工具是开源的，IRIS地址，国内中大型的公司可以考虑使用这个工具进行事件管理和协同。提升安全事件管理效率。

关于考试

考试主要要求1.远程考试,需要开启摄像头和屏幕共享2.考试时长8h，考试满分70 50分为通过 考试涉及到两个场景 场景1 四个问题 一个问题10分，场景2 两个问题 一个问题15分3.考试完成需要24小时内提交英文报告(有模版可以参考)4.考试基本开卷，可以查询本地资料或者使用谷歌搜索但不能使用AI类工具(如chatgpt、deepseek等)

• 目前官方只有一套challenge lab（相对较少），但其实对考试参考意义比较大，而且在第一次独立打完这个lab的时候发现自己花了好长时间，因为我目前的理解是教材是基础，想要通过考试只学习教材是不够的，还需要去分析更多的事件场景以及了解更多关于样本分析的案例及实践。
• 标准课程中lab的有效期(包括章节中涉及的lab)默认有效期是90天，而且一旦开始不能中途暂停，所以最好在3个月内完成考试，否则想要进行实操环境练习就需要进行lab的再次购买。个人感觉如果基础一般且日常工作中没怎么用过SIEM事件分析的学习者只是学习官方教材以及lab，很难一次性通过。
• 此外考试还有30分值的样本提取和分析，考察点有windows和linux的日志、恶意软件的行为分析等，最后一个样本分析中略带ctf的味道(目前还未涉及到使用IDA进行分析，后面可能高级课程如IR-300会有)。
• 整体来说如果以上实操比较少而且考试时间相对较短8小时，通过的难度还是有些大。
• 在整个学习过程中如果有任何问题和建议大家可以去官方discord IR-200频道沟通交流(包括课程章节和lab部分)，里面会有助教进行答疑。

具体考试过程和注意事项：考试过程：1.线上预约(目前这个考试的预约人数应该不多，一般提前两三天即可)选白天或者自己状态最好的时间段。2.考官提前15分钟上线检查环境，需要检查英文证件(护照)、开启摄像头、开启屏幕共享(安装浏览器插件).考试中自己的屏幕拓展一开始有问题,后面切换到firefox浏览器正常了,花费了四十多分钟的时间.3.考试 考试开始后阅读题目要求和注意事项->下载vpn配置文件并连接->根据题目要求找到关键线索并提交答案，当然在这个过程中需要边做边截图，否则后面时间可能不够用，因为考试一旦结束即不能进行环境的访问影响报告的编写。中途如果卡壳可以申请休息一下，在休息期间可以进行反思看是否有遗漏的地方往往会有很好的效果。准备休息和休息回来的时候跟监考老师打个招呼但不用等他回复。考试中间如果遇到有网络问题可以和监考老师及时反馈。4.考试结束 经过8h的奋战(刨除检查以及中途休息等因素大概6个小时)后需要24h内提交英文版报告，报告中涉及到完整的事件发现、线索追踪、事件遏制、事件根除等方面，而且需要提供完整的截图。5.报告提交后 一般10个工作日之内会有邮件通知通过与否(并不公布具体分数)，顺利的话一般1-2个工作日，卡及格线通过可能需要久些。

学习收获及证书作用及就业

• 首先通过系统性的学习能收获完整的网络安全应急响应方向知识，让自己具有更广阔的视野。
• 应急实战能力的提升
• 报告能力的提升
• 英文能力的提升
• 证书作用及就业：目前国内外网络安全领域对蓝队相关工作岗位需求还是比较大，尤其是具有丰富实战经验的人员，如果能啃下这个证书，那么你可以应付国内大部分蓝队的工作，比如安全监控、事件研判分析、应急响应项目经理、安全运营工程师等，此外有了这个证书对于寻求一些外企工作岗位也很有帮助。

其它

• 国内访问lab会有问题可以本机使用aws的vps或者在路由器上做代理(我一直用的后者比较丝滑),另外考试没有必须要求在kali虚拟机上连接vpn进行操作，我考试的时候就是用的mac openvpn进行连接，但要做好路由转发 如

sudo route -n add -net 192.168.195.132/24 -interface utun4

• 最好有拓展屏幕，而且是竖屏显示的拓展屏，因为日志分析的时候观看更方便舒适，截图更完整。
• 寻找队友 组队考证交流+一起报名享优惠 微信 TXJfTTByaw==,要求有一定的红队或蓝队基础及经验。

参考链接

• 课程大纲
• 报告模版
• OSIR考试指南
• sysmon 常见事件id
• windows取证证据
• Uncovering Windows Forensics Artefacts for Digital Forensics Investigators
• splunk 靶场