CompTIA CySA+ (CS0-003): Zertifizierungsvorbereitung Cybersecurity Analyst

Seminarziel

Jede teilnehmende Person verlässt das Seminar mit einem strukturierten Verständnis der vier Prüfungsdomänen in offizieller Gewichtung (Security Operations 33 %, Vulnerability Management 30 %, Incident Response 20 %, Reporting 17 %), der Beherrschung des Cybersecurity-Analyst-Werkzeugkastens (SIEM, SOAR, EDR, Threat Intelligence, Forensik-Tools, Skripting in Python und PowerShell), der Routine in IoC-Erkennung und Threat Hunting (MITRE ATT&CK, Cyber Kill Chain, Diamond Model), dem Werkzeug für Vulnerability Management (CVSS, EPSS, CISA KEV, SBOM, Patch- und Compensating-Control-Strategien), der systematischen IR-Disziplin nach NIST SP 800-61 inkl. Forensik-Grundlagen, der Reporting-Praxis für Stakeholder (Executive Summary, After-Action-Report, Compliance-Mapping, MTTD/MTTR), der Fähigkeit, PBQs zu bearbeiten, einer absolvierten Probeklausur mit Schwächenanalyse und einem persönlichen Lernplan - gut vorbereitet auf das Examen mit 750 Punkten als realistisches Ziel.

Inhalt

Tag 1: Domain 1 Teil 1 - Security Operations (von 33 %)
1. System- und Netzwerk-Architektur für SOC-Analysten

• Architektur:  Log Ingestion (Time Sync, Logging Levels), OS Concepts (Windows  Registry, Hardening), Infrastructure (Serverless, Virtualization,  Container), Network (On-Prem, Cloud, Hybrid, Segmentation, Zero Trust,  SASE, SDN).
• IAM: MFA, SSO, Federation, PAM, Passwordless, CASB.
• Encryption: PKI, SSL Inspection.
• Sensitive Data: DLP, PII, CHD.
• Praxis-Übung: SOC-Architektur skizzieren: Log-Quellen, SIEM, EDR, IAM, DLP-Policies.

2. Malicious Activity erkennen

• Network-Indicators: Bandwidth Consumption, Beaconing, Rogue Devices, Scans/Sweeps, Traffic Spikes, unexpected Ports.
• Host-Indicators:  Processor/Memory/Drive Consumption, Unauthorized  Software/Changes/Privileges, Data Exfiltration, abnormale OS-Prozesse,  File-System-/Registry-Anomalien, unauthorized Scheduled Tasks.
• Application-Indicators: Anomalous Activity, Unexpected Output, Service Interruption, neue Accounts.
• Social Engineering und Obfuscated Links als Indikatoren.
• Praxis-Übung: Drei Log-Auszüge (Windows Event, Firewall, Web-Server) auf IoCs zerlegen. PBQ: Phishing-Mail-Header analysieren.

Tag 2: Domain 1 Teil 2 - Security Operations (Rest 33 %)
3. SOC-Tools und Techniken

• Packet Capture: Wireshark, tcpdump - Filter-Syntax.
• SIEM/SOAR: Splunk, Microsoft Sentinel, QRadar - Use Cases, Correlation Rules, Playbooks.
• Endpoint Security: EDR, Sysinternals (Process Explorer, Process Monitor, Autoruns).
• Reputation: WHOIS, AbuseIPDB, VirusTotal, Talos.
• File-Analyse: Hashing, Sandboxing (Cuckoo, Joe Sandbox), Strings.
• Email-Analyse: Header, SPF, DKIM, DMARC, Impersonation.
• User Behavior Analysis: Pattern Recognition, C2, Impossible Travel, abnormale Account-Aktivität.
• Skripting: JSON, XML, Python, PowerShell, Bash für Log-Parsing.
• Praxis-Übung: Wireshark-PCAP analysieren (verdächtige DNS-Queries, ungewöhnliches HTTP), Sysinternals für laufenden Prozess interpretieren.

4. Threat Intelligence und Threat Hunting

• Threat Actors: APT, Hacktivists, Organized Crime, Nation-State, Script Kiddies, Insider, Supply Chain.
• Frameworks: MITRE ATT&CK, Diamond Model, Cyber Kill Chain.
• Confidence Levels: Timeliness, Relevancy, Accuracy.
• Collection Sources: Open Source (Social Media, CERT/CSIRT, Dark Web), Closed Source (Paid Feeds, ISACs, Internal).
• Sharing: STIX/TAXII, ISACs.
• Hunting-Methoden: Hypothesis-driven, TI-driven, Baseline, IoC vs. IoA.
• Praxis-Übung: MITRE-ATT&CK-basierte Hunt-Hypothese definieren („T1078 Valid Accounts in Cloud") und Telemetrie-Quellen identifizieren.

Tag 3: Domain 2 - Vulnerability Management (30 %)
5. Vulnerability Scanning und Identifikation

• Asset Discovery: Inventory, Tagging, Cloud Assets.
• Special Considerations: Mobile, IoT, ICS/SCADA, Embedded, Critical Infrastructure.
• Scanning-Methoden:  Active vs. Passive, Internal vs. External, Credentialed vs.  Non-credentialed, Agent vs. Agentless, Static/Dynamic (DAST/SAST/IAST).
• Frameworks: OWASP Top 10, MITRE ATT&CK, OSSTMM.
• Tools: Nessus, OpenVAS, Qualys, nmap, Nikto, Burp Suite, OWASP ZAP, Trivy.
• SBOM: Dependency-Track, Snyk, Black Duck.
• Praxis-Übung: Nessus-Scan-Output analysieren, Findings nach Asset und Schweregrad gruppieren, False Positives erkennen.

6. Analyse, Priorisierung und Response

• CVSS: Base, Temporal, Environmental, Vector Strings.
• Exploitability: PoC, Functional, Weaponized, In-the-Wild (CISA KEV).
• Schwachstellen-Klassen: SQLi, XSS, CSRF, Buffer Overflow, Race Conditions, Deserialization, Privilege Escalation.
• Patch Management: Cycles, Maintenance Windows, Emergency Patching, Test, Rollback.
• Compensating Controls: Segmentation, WAF, IPS-Signaturen, Disabling Services.
• Risk Strategies: Accept, Mitigate, Transfer, Avoid.
• Configuration: CIS Benchmarks, NIST Hardening Guides, CMDB.
• Inhibitors of Remediation: MOU, SLA, Governance, Business Process Interruption, Legacy/Proprietary Systems.
• Praxis-Übung:   Aus 25 CVEs eine priorisierte Patch-Roadmap erstellen. Für drei  kritische Schwachstellen (Internet-facing Webserver, interne DB,  Embedded ICS) Response-Pläne mit Patching-, Mitigation- und  Compensating-Control-Optionen definieren.

Tag 4: Domain 3 - Incident Response and Management (20 %)
7. IR-Frameworks und IR-Prozess

• Frameworks: Cyber Kill Chain, MITRE ATT&CK, Diamond Model, OSSTMM, OWASP Testing Guide.
• NIST SP 800-61: Preparation, Detection and Analysis, Containment, Eradication and Recovery, Lessons Learned.
• Detection: Log Review, IoC Sweeping, Threat Hunting, Sandbox-Analyse, Memory Forensics.
• Containment: Network Isolation, Account Disabling, Process Termination.
• Eradication: Malware Removal, Patching, Account-Reset, vollständige Reinstallation bei Persistenz.
• Recovery: Restore, Verification, Monitoring, Hardening.
• Praxis-Übung: Ransomware-Szenario nach NIST SP 800-61 durchspielen: vom EDR-Alert bis zum Post-Incident-Report.

8. Forensik und Tabletop-Übungen

• Forensik-Grundlagen: Chain of Custody, Order of Volatility, Imaging, Timeline-Analyse.
• Memory Forensics: Volatility (Process List, Network Connections, Open Files, Loaded Modules).
• Disk Forensics: Autopsy, FTK, EnCase - File-System-Artifacts, Deleted Files, Slack Space, MFT.
• Network Forensics: tcpdump/Wireshark, NetFlow, Full Packet Capture vs. Metadata.
• Cloud Forensics: AWS CloudTrail, Azure Activity Log, GCP Audit Logs - Volatilitätsbesonderheiten.
• Coordination: Internal Stakeholders, Law Enforcement, Regulators, Legal, PR, CISA und CERT-Meldungen.
• Praxis-Übung: Tabletop zu einem Supply-Chain-Compromise: Rollen, Entscheidungen, Eskalation, externe Kommunikation.

Tag 5: Domain 4 - Reporting and Communication (17 %), Prüfungsstrategie und Probeklausur
9. Reporting für Vulnerability Management und Incident Response

• Vulnerability Reporting: Trends, Top-Findings, Patch Compliance, Risk Heatmaps, Aging-Reports, Coverage-Metriken.
• Stakeholder-spezifisches  Reporting: Executive (Risk-fokussiert), IT-Leitung (Compliance),  Geschäftsbereiche (Business Impact), Auditors.
• Incident-Reporting: Executive Summary, Timeline, Root Cause, Impact, Recommendations, Lessons Learned.
• Compliance Reports: Mapping zu PCI DSS, HIPAA, NIST CSF, ISO 27001, DSGVO.
• Metriken: MTTD, MTTR, False Positive Rate, Coverage Ratio, Risk Score Trend.
• Vulnerability Lifecycle: Identification -> Validation -> Prioritization -> Remediation -> Verification -> Reporting.
• Action Plans: Mitigation, Configuration Management, Patching, Compensating Controls, Awareness, Training.
• Scoring-Systeme: CVSS, EPSS, CISA KEV.
• Praxis-Übung:   Aus einem fiktiven Incident eine zweiseitige Executive Summary für die  Geschäftsleitung verfassen; dieselbe Information als technischer  After-Action-Report. Stakeholder-Update für laufenden Incident schreiben (Geschäftsleitung, Kunden, Mitarbeitende) mit angepasster Sprache.

10. Prüfungsstrategie und Praxis-Workshop
Prüfungsstrategie (45 Min):

• Multiple  Choice: szenariobasiert, oft mit Log-Auszügen oder CVSS-Vektoren.  Schlüsselwörter ("BEST", "FIRST", "MOST likely indicator") entscheiden.
• PBQs: Log-Analyse, Tool-Output, IR-Schritt-Reihenfolge, CVSS-Berechnung, Drag-and-Drop von Frameworks.
• Anti-Patterns: Reset-First-Reflex, Containment vor Detection, fehlende Chain of Custody, fehlende Stakeholder-Kommunikation.
• Zeitmanagement: 165 Minuten für 85 Fragen ergibt ~2 Minuten pro Frage. Englisch-Lesegeschwindigkeit kritisch.

Praxis-Workshop (180 Min):

• Phase 1 - PBQ-Sprint (60 Min):   Acht typische PBQs (Wireshark-PCAP, SIEM-Query, Phishing-Header,  CVSS-Vektor, MITRE-ATT&CK-Zuordnung, IR-Schritte sortieren,  Sysinternals-Output, Vulnerability-Priorisierung).
• Phase 2 - Probeklausur unter Prüfungsbedingungen (90 Min): 60 MC plus 4 PBQs in offizieller Domänen-Gewichtung (~20/18/12/10), 90 Minuten als Trainingseinheit.
• Phase 3 - Auswertung und Peer-Review (30 Min):   Score pro Domäne, Schwächenanalyse, Lernplan. Peer-Review:  IR-Phasen-Reihenfolge bei mehrdeutigem Containment, CVSS-Temporal vs.  Environmental, MITRE-ATT&CK vs. Cyber Kill Chain,  Threat-Intelligence-Confidence, Inhibitor-of-Remediation.