隨著企業面臨的網路攻擊愈加複雜,主動式威脅獵捕(Threat Hunting)與高階資安防禦已成為安全團隊必備能力。Cisco 300-220 CBTHD(Conducting Threat Hunting and Defending Using Cisco Technologies for CyberOps) 是 Cisco Certified CyberOps Professional 認證路徑中的專業選考科目,同時通過本考試也能獲得 Cisco Certified Specialist – Threat Hunting and Defending 專家級證書。
本考試聚焦於威脅獵捕流程、攻擊鏈分析、資安事件調查以及 Cisco 安全產品的實作能力,是希望強化 SOC(Security Operations Center)技能、提升資安偵測與主動防禦能力的最佳證照之一。
一、Cisco 300-220 CBTHD 考試概覽
以下為 300-220 的官方資訊整理:
項目 內容
考試代碼 300-220 CBTHD
英文名稱 Conducting Threat Hunting and Defending Using Cisco Technologies for CyberOps
認證路徑 Cisco Certified CyberOps Professional
同時授証 Cisco Certified Specialist – Threat Hunting and Defending
考試時間 約 90 分鐘
考試費用 300 USD
題型 單選、多選、情境題、技術分析題
適合對象 SOC 分析師、資安工程師、威脅獵捕專家、事件回應(IR)人員
此考試強調實戰能力,特別是使用各種 Cisco 安全平台進行威脅偵測、分析與防禦,是 IT 與資安領域非常實務導向的認證。
二、300-220 CBTHD 考試內容(Blueprint 核心範圍)
CBTHD 的範圍主要聚焦四大面向:威脅獵捕、資安監控、Cisco 安全產品、事件回應。以下為核心領域解析。
威脅獵捕(Threat Hunting)策略與流程
本章為 CBTHD 核心內容,涵蓋威脅獵捕的完整流程與技術,包括:
威脅獵捕假設建立(Hypothesis-Driven Hunting)
運用 MITRE ATT&CK 進行技術分析
事件溯源與行為識別(TTPs)
入侵指標(IoCs)與行為指標(IoAs)分析
攻擊者行為建模(Threat Actor Profiling)
重點是訓練分析人員如何主動尋找未知威脅,而不是被動等待警報。
安全監控與威脅偵測
此部分強調網路、端點與雲端的可視性提升,包括:
NetFlow、DNS、Proxy、Syslog 日誌分析
異常流量與可疑行為模式識別
端點可視化與惡意行為偵測
雲端環境的威脅可視性(Cloud Visibility)
入侵分析與威脅分級(Triage)
考試會出現許多日誌、流量、事件關聯的判讀題,是得分的關鍵部分。
Cisco 安全技術實戰(佔比最高)
本考試特別重視對 Cisco Security 產品的操作理解,其中包含:
1、 Cisco Secure Endpoint(AMP)
惡意檔案分析
行為偵測、事件調查
Orbital Query 查詢
Cisco SecureX
威脅可視化(Threat Response)
事件關聯分析
自動化與統一調查流程
2、 Cisco Secure Network Analytics(Stealthwatch)
流量異常偵測
Beaconing、橫向移動分析
Host Group 行為觀察
3、 Cisco Umbrella
DNS 層級安全
阻擋惡意網站、C2 通訊
Cloud-based Threat Defense
4、 Cisco Firepower / FMC
IPS/NGFW 規則分析
威脅情資整合
安全事件偵測
5、 Cisco Secure Email / Web Security
電郵攻擊(Phishing、Malware)過濾
URL 容器與惡意請求偵測
這些工具皆可能出現在情境題中,因此熟悉操作界面與功能十分重要。
威脅分析與事件回應(Incident Response)
考試內容涵蓋 IR(Incident Response)核心流程,包括:
事件分類(Triage)
事件調查與資料擷取
恶意行為剖析(C2、橫向移動、權限提升)
NIST IR Framework 實務應用
證據記錄與鑑識相關概念
回應策略與修補措施建議
CBTHD 在 IR 方面較偏向事件調查與判斷,而非深入鑑識。
三、300-220 推薦學習方式(高分攻略)
以下是最佳化的備考策略,適合自學與有基礎的人員。
Cisco 官方課程:CBTHD
官方課程完全對應考試範圍,是最系統性的學習資源。
熟悉 MITRE ATT&CK 與攻擊鏈模型
此考試大量使用:
MITRE ATT&CK
Cyber Kill Chain
Diamond Model
TTPs 分析
熟悉攻擊者行為邏輯是通過 CBTHD 的必要條件。
實際操作 Cisco Security 技術
優先掌握:
SecureX
Stealthwatch
Secure Endpoint
Firepower
Umbrella
可使用 Cisco Sandbox 或官方試用環境。
研究攻擊案例與威脅報告
建議參考:
Cisco Talos 威脅報告
MITRE Cyber Threat Intelligence
攻擊鏈模擬案例
使用 IT 考古題平台進行模擬
四、CBTHD 適合哪些人?
300-220 CBTHD 對以下角色最具價值:
SOC 分析師
強化事件偵測、行為分析、日誌判讀能力。
威脅獵捕工程師(Threat Hunter)
學習如何建立假設式獵捕與找出未知威脅。
Incident Response(IR)人員
提升對攻擊鏈、惡意行為與事件調查能力。
資安工程師 / 資安監控人員
熟悉 Cisco 安全平台,有利於企業資安部署。
想轉職資安的 IT 工程師
提供完整的安全分析與防禦技能,是進入資安的絕佳起點。
五、未來趨勢:CBTHD 可能的更新方向
Cisco 正持續整合其資安認證體系,未來(預估 2026 年後)CBTHD 可能加入:
雲原生環境中的威脅獵捕(Cloud Threat Hunting)
AI/ML 驅動的威脅識別
XDR(Extended Detection and Response)整合能力
更深入的攻擊者行為建模與情資分析
建議考生在準備時除了掌握現有範圍,也需熟悉:
MITRE ATT&CK
Cyber Kill Chain
雲端日誌分析(如 AWS、Azure、GCP)
對應的威脅建模技術
以銜接快速演變的資安趨勢。
結語
儘管 300-220 CBRTHD 考試目前內容穩定,但考生應密切關注 Cisco 官方在 2026 年對 CCNP Cybersecurity 體系的進一步整合動態。由於該認證專注於威脅狩獵,未來版本更新極有可能會納入更多雲原生威脅狩獵和AI/ML 輔助的威脅識別與歸因技術。我們建議考生在準備考試時,除現有藍圖外,也應對 MITRE ATT&CK 框架、Cyber Kill Chain、以及雲環境下的日誌分析和威脅建模等進階概念投入更多關注,以確保技能能夠應對網路安全領域的快速發展。
