【认证证书】计算机应急响应 - 中国信息安全测评中心CISP-IRE | 公安部第三研究所CCSS-R

中国信息安全测评中心CISP-IRE

CISP-IRE，全称国家注册应急响应工程师，是国内首个应急响应认证。
通过对网络安全应急响应概念的权威介绍，以及从基础知识入手进行深入浅出的讲解，再到网络安全应急响应实际工作中的监测、分析、处置等各个环节结合典型模拟案例的实战演练。
作为具有经验的应急响应专业人员，应该如何及时、准确、快速的对攻击事件进行最有效的处置，将攻击给信息系统带来的损失降到最低，在最短时间内恢复信息系统的正常运行，为信息系统所承载的业务工作提供强有力的安全保护支撑。

知识体系

简略图片版

详细官方（中国信息安全测评中心）版

《注册信息安全专业人员-应急响应工程师（CISP-IRE）白皮书（V1.0）doc》
《注册信息安全专业人员-应急响应工程师（CISP-IRE）知识体系大纲（V1.0）doc》
知识体系大纲目录如下：

考核方式

20%选择题 + 80%实操
主要有五个模块：
应急响应概述 10%
应急响应基础 30%
应急响应事件监测 10%
应急响应分析与处置 20%
企业应急响应典型事件 30%

公安部第三研究所CCSS-R

官网没有具体介绍，但是发FREEBUF了

考核方式

中级：机考，考试题型为选择题,总分为 100 分，成绩 70 分以上(含 70 分)为通过。
高级、专家级：机考，考试题型为选择题与实操题,总分为 100 分，其中选择题 50分，实操题50分，成绩 70 分以上(含 70 分)为通过。

资料

题目

安恒8月应急响应题目回顾（偏渗透和网络流量分析）

工具

日志

360 - 星图
微软 - Log Parser

笔记资料类

《Bypass007 - 应急响应实战笔记》
《meirwah - 应急响应大合集》
《一灯老和尚 mrknow001 - 思维导图》（有部分信息估计作者没写完，但是也挺完整的了）

Linux

《Linux应急响应中常用的命令》

目录：
1、账号安全
2、历史命令
3、检查异常端口
4、检查异常进程
5、检查开机启动项
6、检查定时任务
7、检查自启动服务
8、检查系统日志
9、SUID shell
10、ssh公私钥免密登录
11、软连接
12、SSH wrapper
13、openssh后门
14、PAM后门

《linux系统被植入木马的排查流程》

《应急响应常见入侵痕迹检查》

1.1.1 web日志检查
1.1.2 web后门检查
1.1.3 系统应用日志

《新华三攻防实验室 - 2021HVV之蓝队日志分析技巧》

《安全初心 - 溯源反制终极手册(精选版)》