ဒီနေ့ရေးမယ့်အကြောင်းအရာကတော့ INE ကနေ Offer လုပ်တဲ့ eCTHP (eLearnSecurity Certified Threat Hunting Professional) exam ရဲ့ Review အကြောင်းပဲဖြစ်ပါတယ် .. Exam အောင်တာကြာပြီဆိုပေမယ့် ခုမှ Review ရေးဖြစ်တာပါ

eCTHP ကို ပုံမှန်အချိန်ဝယ်မယ်ဆို Exam သီးသန့် Voucher (Course မပါ) ကို USD 400 ပေးရမှာဖြစ်ပါတယ် .. ဒါပေမယ့်လည်း တစ်ခါတလေကျရင် INE ကနေ Discount ချပေးတာမျိုးတွေရှိပါတယ် .. အဲ့အချိန်တွေစောင့်ဝယ်သင့်ပါတယ်

Exam Structure

တခြားအကြောင်းမပြောခင် စာမေးပွဲပုံစံအကြောင်းပြောပြပါမယ် .. စာမေးပွဲဟာ Practical Exam ဖြစ်ပြီး Box 3 ကို 48 နာရီ access ပေးထားမှာဖြစ်ပါတယ် .. ပြီးရင် Report ရေးဖို့အတွက် 24 နာရီအချိန်ထပ်ပေးမှာဖြစ်လို့ စုစုပေါင်း 96 နာရီကြာမယ့် စာမေးပွဲပါ .. အဲ့ဒီ Box တွေဟာ Hack ခံထားရတဲ့ Environment ရဲ့ SIEM Access ပေးထားပြီး Hacker တွေ ဘာလုပ်နေတယ်/ဘယ်ကစပြီးဝင်လာတယ်ဆိုတာကို Threat Hunt လုပ်ခိုင်းတာဖြစ်ပါတယ် .. ဒါ့အပြင် Memory Image ပေးပြီး Memory Forensics လုပ်ခိုင်းတာလည်း ပါ,ပါတယ်

  • Exam Duration – 96 hours total (48 hours lab + 24 hours report)
  • Exam Scenerio – 3 Machines
  • VPN – OpenVPN

Exam စတာနဲ့ Letter of Engagement နဲ့ Threat Intelligence Report ဆိုပြီး PDF File 2 ခုပေးပါတယ် .. ပြီးရင် VPN Access လည်းပေးပါတယ် .. Exam Report Format ကိုလည်း Letter of Engagement ထဲထည့်ရေးပေးထားပါတယ် .. Exam မှာ 75 မှတ်ကအောင်မှတ်ပါ .. ကိုယ်တွေ့သမျှ Findings တွေကို Screenshot ရိုက်ပြီးထည့်ပေးလေ ကောင်းလေပါပဲ .. Screenshot တွေကကြည်လင်ပြတ်သားနေအောင် ဂရုပြုပါ

Timeline

အောက်ကတော့ ကျွန်တော့်ရဲ့ Exam ဖြေတဲ့ Timeline ပါ

  • 21/07/2023 01:24 AM (UTC) – Bought the exam voucher
  • 21/12/2023 00:56 AM (UTC) – Started the exam
  • 22/12/2023 10:11 AM (UTC) – Finished the exam (Report Uploaded)
  • 30/01/2024 12:48 AM (UTC) – Received the exam result (Passed)

မြင်တဲ့အတိုင်းပဲကျွန်တော်ဖြေတာအပြီးအစီး 34 နာရီလောက်ပဲကြာပါတယ်

Exam Timeline
Exam Result Notification via Email

Exam Preparation

စာမေးပွဲက Splunk, Volatility, ELK ၃ ခုကို heavy သုံးရပါတယ် .. အဲ့အတွက် Splunk ရဲ့ Boss of the SOC လို Lab တွေလေ့ကျင့်တာအပြင် BTLO, CyberDefenders, TryHackMe တို့လို Platform တွေကနေ Splunk, Volatility, ELK တို့ပါတဲ့ Lab တွေကိုဖြေထားသင့်ပါတယ်

Tools Used: Splunk, Volatility 2, ELK

ကျွန်တော့်တုန်းက INE က Threat Hunting Professional Course ကိုပါ Trial 7 ရက်ယူပြီးကြည့်လိုက်ပါတယ် .. အကုန်ပြီးအောင်မကြည့်လိုက်ရတဲ့အတွက် ဒီ Course က Exam အတွက် အသုံးဝင်မဝင်မပြောတတ်ပါဘူး

Course Structure

INE ရဲ့ Course မှာ 3 ပိုင်းပါ,ပါတယ်

  1. Introduction to Threat Hunting
  2. Threat Hunting: Hunting the Network & Network Analysis
  3. Threat Hunting: Hunting the Endpoint & Endpoint Analysis

ကျွန်တော်က Network Hunting ကြည့်နေတုန်း Trial ကုန်သွားတော့ဆက်မကြည့်ဖြစ်တော့ပါ .. ဖြစ်ချင်တော့ Exam က Endpoint Focus ပိုဖြစ်လို့ Endpoint Hunting ကိုပိုကြည့်စေချင်ပါတယ်

နောက်တစ်ခုက MITRE ATT&CK Framework နဲ့ရင်းနှီးနေအောင်လေ့လာထားပြီး MITRE အတိုင်း Hunt နိုင်ရင်အဆင်ပြေတယ်လို့မြင်ပါတယ်

Summary/Verdict

Exam က Practical ဖြစ်လို့ Theory သီးသန့်မေးတဲ့ Exam တွေထက်တော့ပိုသာပါတယ် .. Exam VPN ကလည်း Stable ဖြစ်ပြီးဖြေရတာအဆင်ပြေပါတယ် .. ကျွန်တော်မကြိုက်တဲ့အချက်ကတော့ Exam Scenario ၃ ခုက ပုံသေဖြစ်နေတာမို့လို့ ဘယ်သူဖြေဖြေ ဒီ Scenario ၃ ခုပဲလာမှာကိုသဘောမတွေ့ပါဘူး .. OSCP လိုမျိုး Box တွေ random ပေးသင့်ပါတယ် .. ဖြေသင့်လားမေးရင်တော့ ကိုယ်နဲ့ပဲဆိုင်ပါတယ် .. Threat Hunting ဟာ Entry Level Skillset မဟုတ်ပါဘူး .. ဒါကြောင့်ခုမှ Cyber Security Industry ထဲစဝင်မယ့်လူတွေဆိုရင်တော့ တခြား Option တွေဖြစ်တဲ့ Blue Team Level 1 (BTL1), CompTIA CySA+ တို့ကိုပဲ Recommend ပေးချင်ပါတယ် .. Experience ရှိပြီးသားလူတွေအနေနဲ့ဆိုရင်တော့ Budget အရမဆိုးဘူးလို့ပြောလို့ရတဲ့ Certificate ပါ .. ကျွန်တော်သာဆို 2024 မှာ eCTHP မဖြေပဲ OSDA, BTL2 လို Certificate မျိုးဖြေပါမယ် (Budget တော့ကွာပေမယ့်လည်း Discount အချိန်စောင့်ဝယ်ရမှာပေါ့လေ :D)

သင့်လျော်ရာ Preparation Resources တွေကိုလည်း အောက်ပါတစ်ပါတည်းပေးထားပါမယ်

အားလုံးပဲအဆင်ပြေကြပါစေခင်ဗျာ

By Pyae Heinn Kyaw

Pyae is a Defensive Cyber Professional, currently working at one of Australia's largest energy retailer.