CompTIA CySA+ (CS0-003): Zertifizierungsvorbereitung Cybersecurity Analyst

• Tag 1: Domain 1 Teil 1 - Security Operations (von 33 %)
• 1. System- und Netzwerk-Architektur für SOC-Analysten
  • Architektur:  Log Ingestion (Time Sync, Logging Levels), OS Concepts (Windows  Registry, Hardening), Infrastructure (Serverless, Virtualization,  Container), Network (On-Prem, Cloud, Hybrid, Segmentation, Zero Trust,  SASE, SDN).
  • IAM: MFA, SSO, Federation, PAM, Passwordless, CASB.
  • Encryption: PKI, SSL Inspection.
  • Sensitive Data: DLP, PII, CHD.
  • Praxis-Übung: SOC-Architektur skizzieren: Log-Quellen, SIEM, EDR, IAM, DLP-Policies.
• 2. Malicious Activity erkennen
  • Network-Indicators: Bandwidth Consumption, Beaconing, Rogue Devices, Scans/Sweeps, Traffic Spikes, unexpected Ports.
  • Host-Indicators:  Processor/Memory/Drive Consumption, Unauthorized  Software/Changes/Privileges, Data Exfiltration, abnormale OS-Prozesse,  File-System-/Registry-Anomalien, unauthorized Scheduled Tasks.
  • Application-Indicators: Anomalous Activity, Unexpected Output, Service Interruption, neue Accounts.
  • Social Engineering und Obfuscated Links als Indikatoren.
  • Praxis-Übung: Drei Log-Auszüge (Windows Event, Firewall, Web-Server) auf IoCs zerlegen. PBQ: Phishing-Mail-Header analysieren.
• Tag 2: Domain 1 Teil 2 - Security Operations (Rest 33 %)
• 3. SOC-Tools und Techniken
  • Packet Capture: Wireshark, tcpdump - Filter-Syntax.
  • SIEM/SOAR: Splunk, Microsoft Sentinel, QRadar - Use Cases, Correlation Rules, Playbooks.
  • Endpoint Security: EDR, Sysinternals (Process Explorer, Process Monitor, Autoruns).
  • Reputation: WHOIS, AbuseIPDB, VirusTotal, Talos.
  • File-Analyse: Hashing, Sandboxing (Cuckoo, Joe Sandbox), Strings.
  • Email-Analyse: Header, SPF, DKIM, DMARC, Impersonation.
  • User Behavior Analysis: Pattern Recognition, C2, Impossible Travel, abnormale Account-Aktivität.
  • Skripting: JSON, XML, Python, PowerShell, Bash für Log-Parsing.
  • Praxis-Übung: Wireshark-PCAP analysieren (verdächtige DNS-Queries, ungewöhnliches HTTP), Sysinternals für laufenden Prozess interpretieren.
• 4. Threat Intelligence und Threat Hunting
  • Threat Actors: APT, Hacktivists, Organized Crime, Nation-State, Script Kiddies, Insider, Supply Chain.
  • Frameworks: MITRE ATT&CK, Diamond Model, Cyber Kill Chain.
  • Confidence Levels: Timeliness, Relevancy, Accuracy.
  • Collection Sources: Open Source (Social Media, CERT/CSIRT, Dark Web), Closed Source (Paid Feeds, ISACs, Internal).
  • Sharing: STIX/TAXII, ISACs.
  • Hunting-Methoden: Hypothesis-driven, TI-driven, Baseline, IoC vs. IoA.
  • Praxis-Übung: MITRE-ATT&CK-basierte Hunt-Hypothese definieren (T1078 Valid Accounts in Cloud") und Telemetrie-Quellen identifizieren.
• Tag 3: Domain 2 - Vulnerability Management (30 %)
• 5. Vulnerability Scanning und Identifikation
  • Asset Discovery: Inventory, Tagging, Cloud Assets.
  • Special Considerations: Mobile, IoT, ICS/SCADA, Embedded, Critical Infrastructure.
  • Scanning-Methoden:  Active vs. Passive, Internal vs. External, Credentialed vs.  Non-credentialed, Agent vs. Agentless, Static/Dynamic (DAST/SAST/IAST).
  • Frameworks: OWASP Top 10, MITRE ATT&CK, OSSTMM.
  • Tools: Nessus, OpenVAS, Qualys, nmap, Nikto, Burp Suite, OWASP ZAP, Trivy.
  • SBOM: Dependency-Track, Snyk, Black Duck.
  • Praxis-Übung: Nessus-Scan-Output analysieren, Findings nach Asset und Schweregrad gruppieren, False Positives erkennen.
• 6. Analyse, Priorisierung und Response
  • CVSS: Base, Temporal, Environmental, Vector Strings.
  • Exploitability: PoC, Functional, Weaponized, In-the-Wild (CISA KEV).
  • Schwachstellen-Klassen: SQLi, XSS, CSRF, Buffer Overflow, Race Conditions, Deserialization, Privilege Escalation.
  • Patch Management: Cycles, Maintenance Windows, Emergency Patching, Test, Rollback.
  • Compensating Controls: Segmentation, WAF, IPS-Signaturen, Disabling Services.
  • Risk Strategies: Accept, Mitigate, Transfer, Avoid.
  • Configuration: CIS Benchmarks, NIST Hardening Guides, CMDB.
  • Inhibitors of Remediation: MOU, SLA, Governance, Business Process Interruption, Legacy/Proprietary Systems.
  • Praxis-Übung:   Aus 25 CVEs eine priorisierte Patch-Roadmap erstellen. Für drei  kritische Schwachstellen (Internet-facing Webserver, interne DB,  Embedded ICS) Response-Pläne mit Patching-, Mitigation- und  Compensating-Control-Optionen definieren.
• Tag 4: Domain 3 - Incident Response and Management (20 %)
• 7. IR-Frameworks und IR-Prozess
  • Frameworks: Cyber Kill Chain, MITRE ATT&CK, Diamond Model, OSSTMM, OWASP Testing Guide.
  • NIST SP 800-61: Preparation, Detection and Analysis, Containment, Eradication and Recovery, Lessons Learned.
  • Detection: Log Review, IoC Sweeping, Threat Hunting, Sandbox-Analyse, Memory Forensics.
  • Containment: Network Isolation, Account Disabling, Process Termination.
  • Eradication: Malware Removal, Patching, Account-Reset, vollständige Reinstallation bei Persistenz.
  • Recovery: Restore, Verification, Monitoring, Hardening.
  • Praxis-Übung: Ransomware-Szenario nach NIST SP 800-61 durchspielen: vom EDR-Alert bis zum Post-Incident-Report.
• 8. Forensik und Tabletop-Übungen
  • Forensik-Grundlagen: Chain of Custody, Order of Volatility, Imaging, Timeline-Analyse.
  • Memory Forensics: Volatility (Process List, Network Connections, Open Files, Loaded Modules).
  • Disk Forensics: Autopsy, FTK, EnCase - File-System-Artifacts, Deleted Files, Slack Space, MFT.
  • Network Forensics: tcpdump/Wireshark, NetFlow, Full Packet Capture vs. Metadata.
  • Cloud Forensics: AWS CloudTrail, Azure Activity Log, GCP Audit Logs - Volatilitätsbesonderheiten.
  • Coordination: Internal Stakeholders, Law Enforcement, Regulators, Legal, PR, CISA und CERT-Meldungen.
  • Praxis-Übung: Tabletop zu einem Supply-Chain-Compromise: Rollen, Entscheidungen, Eskalation, externe Kommunikation.
• Tag 5: Domain 4 - Reporting and Communication (17 %), Prüfungsstrategie und Probeklausur
• 9. Reporting für Vulnerability Management und Incident Response
  • Vulnerability Reporting: Trends, Top-Findings, Patch Compliance, Risk Heatmaps, Aging-Reports, Coverage-Metriken.
  • Stakeholder-spezifisches  Reporting: Executive (Risk-fokussiert), IT-Leitung (Compliance),  Geschäftsbereiche (Business Impact), Auditors.
  • Incident-Reporting: Executive Summary, Timeline, Root Cause, Impact, Recommendations, Lessons Learned.
  • Compliance Reports: Mapping zu PCI DSS, HIPAA, NIST CSF, ISO 27001, DSGVO.
  • Metriken: MTTD, MTTR, False Positive Rate, Coverage Ratio, Risk Score Trend.
  • Vulnerability Lifecycle: Identification -> Validation -> Prioritization -> Remediation -> Verification -> Reporting.
  • Action Plans: Mitigation, Configuration Management, Patching, Compensating Controls, Awareness, Training.
  • Scoring-Systeme: CVSS, EPSS, CISA KEV.
  • Praxis-Übung:   Aus einem fiktiven Incident eine zweiseitige Executive Summary für die  Geschäftsleitung verfassen; dieselbe Information als technischer  After-Action-Report. Stakeholder-Update für laufenden Incident schreiben (Geschäftsleitung, Kunden, Mitarbeitende) mit angepasster Sprache.
• 10. Prüfungsstrategie und Praxis-Workshop
• Prüfungsstrategie (45 Min):
  • Multiple  Choice: szenariobasiert, oft mit Log-Auszügen oder CVSS-Vektoren.  Schlüsselwörter ("BEST", "FIRST", "MOST likely indicator") entscheiden.
  • PBQs: Log-Analyse, Tool-Output, IR-Schritt-Reihenfolge, CVSS-Berechnung, Drag-and-Drop von Frameworks.
  • Anti-Patterns: Reset-First-Reflex, Containment vor Detection, fehlende Chain of Custody, fehlende Stakeholder-Kommunikation.
  • Zeitmanagement: 165 Minuten für 85 Fragen ergibt 2 Minuten pro Frage. Englisch-Lesegeschwindigkeit kritisch.
• Praxis-Workshop (180 Min):
  • Phase 1 - PBQ-Sprint (60 Min):   Acht typische PBQs (Wireshark-PCAP, SIEM-Query, Phishing-Header,  CVSS-Vektor, MITRE-ATT&CK-Zuordnung, IR-Schritte sortieren,  Sysinternals-Output, Vulnerability-Priorisierung).
  • Phase 2 - Probeklausur unter Prüfungsbedingungen (90 Min): 60 MC plus 4 PBQs in offizieller Domänen-Gewichtung (20/18/12/10), 90 Minuten als Trainingseinheit.
  • Phase 3 - Auswertung und Peer-Review (30 Min):   Score pro Domäne, Schwächenanalyse, Lernplan. Peer-Review:  IR-Phasen-Reihenfolge bei mehrdeutigem Containment, CVSS-Temporal vs.  Environmental, MITRE-ATT&CK vs. Cyber Kill Chain,  Threat-Intelligence-Confidence, Inhibitor-of-Remediation.

LernzieleJede teilnehmende Person verlässt das Seminar mit einem strukturierten Verständnis der vier Prüfungsdomänen in offizieller Gewichtung (Security Operations 33 %, Vulnerability Management 30 %, Incident Response 20 %, Reporting 17 %), der Beherrschung des Cybersecurity-Analyst-Werkzeugkastens (SIEM, SOAR, EDR, Threat Intelligence, Forensik-Tools, Skripting in Python und PowerShell), der Routine in IoC-Erkennung und Threat Hunting (MITRE ATT&CK, Cyber Kill Chain, Diamond Model), dem Werkzeug für Vulnerability Management (CVSS, EPSS, CISA KEV, SBOM, Patch- und Compensating-Control-Strategien), der systematischen IR-Disziplin nach NIST SP 800-61 inkl. Forensik-Grundlagen, der Reporting-Praxis für Stakeholder (Executive Summary, After-Action-Report, Compliance-Mapping, MTTD/MTTR), der Fähigkeit, PBQs zu bearbeiten, einer absolvierten Probeklausur mit Schwächenanalyse und einem persönlichen Lernplan - gut vorbereitet auf das Examen mit 750 Punkten als realistisches Ziel.Zielgruppen

• SOC-Analystinnen und Incident Responder mit erster Praxis: Die Threat Detection, SIEM-Analyse und IR offiziell zertifizieren wollen.
• Security Engineers und Threat Hunter: Die Detection Engineering, Threat Intelligence und Vulnerability Management strukturiert lernen wollen.
• IT-Administratoren mit Security-Verantwortung: Die nach Security+ den nächsten Karriereschritt gehen wollen.
• Cyber Defense Operatoren im öffentlichen Sektor: Die CySA+ als DoD-8140-äquivalente Baseline für SOC-Rollen brauchen.

Voraussetzungen:   Empfohlen 4 Jahre Praxis als IR- oder SOC-Analyst (kein  Pflicht-Vorlauf). Empfohlene Vorstufen: Network+ und Security+. Solides  Verständnis von TCP/IP, Logging, Linux- und Windows-Administration sowie Skripting (Python, PowerShell, Bash).