root@echelon:~# cat /var/log/certifications/htb-cdsa-review.md
// REVIEWED

[*] HTB Certified Defensive Security Analyst - Recenzja

07.10.2025 | autor: Kamil Górczyński czas czytania: 12 min

Jako że certyfikat Hack The Box Certified Defensive Security Analyst nie jest bardzo rozpoznawalny — przynajmniej w porównaniu z takimi certyfikatami jak CEH czy Security+ — postaram się krótko go opisać, wymienić najważniejsze cechy i co ważne, odpowiedzieć na pytanie, czy warto do niego przystąpić mimo niewielkiej rozpoznawalności, przynajmniej na polskim rynku.

ZARYS OGÓLNY

HTB Certified Defensive Security Analyst (CDSA) to praktyczny certyfikat skupiający się na umiejętnościach niezbędnych w pracy analityka bezpieczeństwa. W przeciwieństwie do wielu teoretycznych certyfikatów, CDSA kładzie nacisk na rzeczywiste scenariusze i praktyczne zastosowanie narzędzi używanych w codziennej pracy SOC.

DLA KOGO

Według opisu na stronie HTB, do certyfikatu mogą przystąpić zarówno osoby początkujące, jak i bardziej zaawansowane. Co ważne, wymagane jest ukończenie odpowiedniej ścieżki w Akademii — ale do tego jeszcze wrócę.

Certyfikat jest dedykowany:

  • Analitykom bezpieczeństwa IT
  • Operatorom SOC
  • Wszystkim osobom zajmującym się Blue Teamem i szeroko pojętym cyberbezpieczeństwem
  • Osobom, które chcą poszerzyć swoją wiedzę w dziedzinach takich jak:
    • Informatyka śledcza (Digital Forensics)
    • Analiza logów
    • Analiza incydentów
    • Wykorzystanie popularnych narzędzi SIEM (np. Splunk, Elastic)

PRZYGOTOWANIE DO EGZAMINU

Aby przystąpić do egzaminu niezbędne jest ukończenie ścieżki "SOC Analyst" w 100%. Dopiero wtedy pojawia się możliwość rozpoczęcia egzaminu.

Nie będę tutaj opisywać dokładnie jakie moduły są dostępne i co one zawierają, wszystkie informacje znajdują się na oficjalnej stronie Akademii HTB.

Struktura ścieżki przygotowawczej

Ścieżka składa się z 15 modułów, które dość obszernie omawiają najważniejsze aspekty pracy w SOC, m.in.:

  • Analiza logów (Windows, Linux)
  • Analiza ruchu sieciowego
  • Podstawy procesu obsługi incydentu
  • Przygotowanie raportu końcowego
  • Narzędzia SIEM (Splunk, Elastic)
  • Digital Forensics

Najbardziej wartościowe — i jednocześnie najciekawsze — okazały się dla mnie moduły dotyczące informatyki śledczej oraz analizy logów przy użyciu narzędzi SIEM (Splunk, Elastic).

HTB CDSA Certificate
Certyfikat HTB Certified Defensive Security Analyst

EGZAMIN

Po kliknięciu "Enter Exam" mamy 7 dni na analizę dwóch incydentów i przygotowanie raportu.

Struktura egzaminu

  • Incydent 1: Musimy zdobyć odpowiednią ilość flag + udokumentować w raporcie
  • Incydent 2: Wystarczy udokumentować znalezione informacje w raporcie
  • Czas: 7 dni na całość
  • Wymagania: Raport + flagi

Cały ten proces zajął mi około 3 dni.

Niestety nie mogę tutaj wchodzić w zbyt wiele szczegółów na temat samego egzaminu, jednak uznałbym go za wymagający i raczej nie poleciłbym go jako „Entry Level". Sama ścieżka i zawarte w niej moduły dobrze przygotowują — egzamin nie wykracza poza ich zakres, jednak nie jest to 1:1. Materiały z Akademii stanowią solidną bazę, ale kluczowe jest zrozumienie zagadnień i umiejętność ich praktycznego zastosowania, a nie zapamiętywanie komend.

Moje rekomendacje przygotowawcze

Jeżeli miałbym dać kilka rad przystępującym do egzaminu to na pewno byłoby to:

  • Przygotowanie szczegółowych notatek — zrozumienie zagadnień (szczególnie SIEM i Digital Forensics) jest kluczowe
  • Praktyka: Rekomendowałbym rozwiązanie kilku Sherlocków na Akademii HTB oraz np. Splunk BOTS
  • Dokumentacja: Szczegółowe udokumentowanie znalezionych artefaktów podczas analizy — do tego wrócę w części o raporcie
  • Nie polegaj na pamięci: Zrozumienie procesów i narzędzi jest ważniejsze niż zapamiętywanie komend

Podsumowując część egzaminacyjną: najważniejsze jest dobre zrozumienie materiałów przygotowujących oraz ewentualne ćwiczenia szlifujące nasze umiejętności w Splunku i Elasticu.

RAPORT

Raport jest kluczowym elementem egzaminu — nawet po zdobyciu wymaganej liczby flag należy wszystko odpowiednio udokumentować. Bez poprawnie przygotowanego raportu nie da się zaliczyć egzaminu.

Wymagania dotyczące raportu

Wszystkie znalezione flagi i artefakty należy potwierdzić:

  • Zrzutami ekranu
  • Komendami użytymi do odkrycia
  • Fragmentami logów ze Splunka lub Elastic
  • Szczegółowym opisem procesu analizy

Ja do każdego odkrycia dodawałem screen i fragment logu ze Splunka lub Elastic. Dlatego polecam prowadzić notatki i częściowo pisać raport już w trakcie analizy — bardzo to ułatwia końcowe przygotowanie dokumentu.

Ja korzystałem z Sysreptor, który HTB również rekomenduje — posiada gotowy szablon pod CDSA i umożliwia wygenerowanie estetycznego raportu PDF.

Co ważne, nie ma żadnych ograniczeń jeżeli chodzi o narzędzia, więc w trakcie pisania raportu, tych części bardziej opisowych, możemy wspomagać się AI (Chat GPT itd.).

CZY WARTO?

Tak jak wspomniałem na samym początku, certyfikat nie jest zbyt rozpoznawalny i jeżeli jest to naszym głównym celem, to raczej rekomendowałbym coś innego. Jednak jeżeli chcemy poprawić swoje umiejętności i nauczyć się nowych rzeczy, a następnie potwierdzić je za pomocą praktycznego egzaminu, to mogę z czystym sumieniem polecić.

Plusy certyfikatu

  • Praktyczne podejście — rzeczywiste scenariusze i narzędzia
  • Kompleksowe przygotowanie — 15 modułów obejmujących kluczowe zagadnienia SOC
  • Popularne narzędzia — Splunk, Elastic, narzędzia do analizy PCAP
  • Digital Forensics — solidne wprowadzenie do informatyki śledczej
  • Wymagający egzamin — zmusza do zrozumienia, a nie zapamiętywania

Minusy certyfikatu

  • Niska rozpoznawalność — szczególnie na polskim rynku
  • Nie jest entry-level — mimo deklaracji HTB

Egzamin jest wymagający, jednak wiedza jaką zdobywamy na pewno przyda się w pracy SOC. Jeżeli szukasz certyfikatu, który rzeczywiście nauczy Cię praktycznych umiejętności, a nie tylko teorii — HTB CDSA jest dobrym wyborem.

WNIOSKI

HTB Certified Defensive Security Analyst to certyfikat, który wyróżnia się praktycznym podejściem do nauki. Zamiast suchej teorii, otrzymujemy realne scenariusze i narzędzia wykorzystywane w codziennej pracy analityka SOC.

Czy warto? Jeżeli Twoim celem jest:

  • Poprawa praktycznych umiejętności w analizie incydentów
  • Nauka pracy z popularnymi narzędziami SIEM
  • Zdobycie doświadczenia w Digital Forensics
  • Potwierdzenie swoich kompetencji praktycznym egzaminem

...to zdecydowanie TAK.

Jeżeli jednak zależy Ci głównie na rozpoznawalności certyfikatu na rynku pracy, warto rozważyć inne opcje jak CompTIA Security+ czy CEH.

ŹRÓDŁA

HTB CDSA Certyfikat SOC Analyst Blue Team SIEM Digital Forensics Splunk Elastic Recenzja
« POWRÓT DO LISTY ARTYKUŁÓW

system@echelon:~# cat /etc/privacy_notice.txt

Ta strona używa Google Analytics do zbierania anonimowych informacji o ruchu na stronie. Kontynuując korzystanie z tej strony, wyrażasz zgodę na używanie plików cookie zgodnie z naszą Polityką Prywatności.