Help us understand the problem. What is going on with this article?

Splunkを使ったセキュリティトインシデント調査レーニング

More than 1 year has passed since last update.

Boss of the SOC

  • 皆さん、Splunk社主催のCTFイベント(Boss of the SOC)をご存知でしょうか
  • Splunkを使ったセキュリティインシデント調査のトレーニングにもなるコンテンツです
  • だいたい毎年新しいシナリオがリリースされています(2019.09時点でv3まで存在)

Ver2.0まではgithubに自己学習用コンテンツとして公開

  • CC0(クリエイティブコモン)ライセンスにつき、どなたでも好きなように利用可能
  • CC0の詳細はこちら

Ver1.0

Ver2.0

準備の仕方(ver1.0を例に実施)

  • まずデータセットをDLして/opt/splunk/etc/app配下に展開します

    • このとき、データセットにはフルサイズと最小限のattack onlyデータの②種類が存在します
    • 容量の小さいattack onlyデータでも十分学習できます スクリーンショット 2019-09-10 19.40.32.png
  • 例:Linuxの場合

データをwgetでダウンロード
# wget https://s3.amazonaws.com/botsdataset/botsv1/botsv1-attack-only.tgz

圧縮データの解凍
# tar zxvf botsv1-attack-only.tgz 
  • 続いて学習用Appをインストールして、Splunkに手動アップロード
    • ※Spluk v7.3を使っているとSplunkのAppのブラウジングにはヒットしないため
  • 更に必要となるAdd-Onをインストールしておく スクリーンショット 2019-09-10 19.44.05.png
  • Splunkを再起動
  • ver2.0も基本的なセットアップ手順は一緒です

学習Appの使い方

Appを開く

スクリーンショット 2019-09-10 19.46.00.png

インシデントシナリオごとの章立てになっています

スクリーンショット 2019-09-10 19.47.31.png

問題一つ一つ調査の仕方をstep by stepで説明

スクリーンショット 2019-09-10 19.50.47.png
スクリーンショット 2019-09-10 19.50.58.png

問題、解説ともにすべて英語ですが、1つ1つサーチの順を追って学習できますのでお手元のPCにSplunkを入れてお試しあれ。

odorusatoshi
Splunkを中心に①ログの収集方法、②ログの分析方法の学びを紹介していきたいと思います
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away