#Boss of the SOC
- 皆さん、Splunk社主催のCTFイベント(Boss of the SOC)をご存知でしょうか
- Splunkを使ったセキュリティインシデント調査のトレーニングにもなるコンテンツです
- だいたい毎年新しいシナリオがリリースされています(2019.09時点でv3まで存在)
#Ver2.0まではgithubに自己学習用コンテンツとして公開
- CC0(クリエイティブコモン)ライセンスにつき、どなたでも好きなように利用可能
- CC0の詳細はこちら
##Ver1.0
##Ver2.0
準備の仕方(ver1.0を例に実施)
-
まずデータセットをDLして/opt/splunk/etc/app配下に展開します
- このとき、データセットにはフルサイズと最小限のattack onlyデータの②種類が存在します
- 容量の小さいattack onlyデータでも十分学習できます
-
例:Linuxの場合
データをwgetでダウンロード
# wget https://s3.amazonaws.com/botsdataset/botsv1/botsv1-attack-only.tgz
圧縮データの解凍
# tar zxvf botsv1-attack-only.tgz
- 続いて学習用Appをインストールして、Splunkに手動アップロード
- ※Spluk v7.3を使っているとSplunkのAppのブラウジングにはヒットしないため
- 更に必要となるAdd-Onをインストールしておく
- Splunkを再起動
- ver2.0も基本的なセットアップ手順は一緒です
学習Appの使い方
###Appを開く
###インシデントシナリオごとの章立てになっています
問題一つ一つ調査の仕方をstep by stepで説明
