Splunkを使ったセキュリティトインシデント調査レーニング

Boss of the SOC

• 皆さん、Splunk社主催のCTFイベント（Boss of the SOC）をご存知でしょうか
• Splunkを使ったセキュリティインシデント調査のトレーニングにもなるコンテンツです
• だいたい毎年新しいシナリオがリリースされています(2019.09時点でv3まで存在)

Ver2.0まではgithubに自己学習用コンテンツとして公開

• CC0(クリエイティブコモン)ライセンスにつき、どなたでも好きなように利用可能
• CC0の詳細はこちら

Ver1.0

• データセット
  • https://github.com/splunk/botsv1
• 学習用App
  • https://splunkbase.splunk.com/app/3985/

Ver2.0

• データセット

  • https://github.com/splunk/botsv2

• 学習用App

  • https://splunkbase.splunk.com/app/4430/

準備の仕方（ver1.0を例に実施）

• まずデータセットをDLして/opt/splunk/etc/app配下に展開します

  • このとき、データセットにはフルサイズと最小限のattack onlyデータの②種類が存在します
  • 容量の小さいattack onlyデータでも十分学習できます

• 例：Linuxの場合

データをwgetでダウンロード
# wget https://s3.amazonaws.com/botsdataset/botsv1/botsv1-attack-only.tgz

圧縮データの解凍
# tar zxvf botsv1-attack-only.tgz 

• 続いて学習用Appをインストールして、Splunkに手動アップロード
  • ※Spluk v7.3を使っているとSplunkのAppのブラウジングにはヒットしないため
• 更に必要となるAdd-Onをインストールしておく
• Splunkを再起動
• ver2.0も基本的なセットアップ手順は一緒です

学習Appの使い方

Appを開く

インシデントシナリオごとの章立てになっています

問題一つ一つ調査の仕方をstep by stepで説明

問題、解説ともにすべて英語ですが、１つ１つサーチの順を追って学習できますのでお手元のPCにSplunkを入れてお試しあれ。