THMのCloud licenseとは
公式の説明はこちら
https://tryhackme.com/cloud-access
まずCloud Licenseは、TryHackMeのサブスク(Premium契約)とは別の課金です。Cloud LicenseがあるとTryHackMeで以下のパスにあるAzureポータルやAWSマネジメントコンソール環境を生成できRoomを進めることができます。(つまり本物のAzureポータル(MS Sentinel)やAWSマネジメントコンソールが使えて体験できるのが利点)
- Defending Azure
- Attacking and Defending AWS
いずれのパスも完了するためにTryHackMeのサブスクは不要でCloud Licenseがあれば最後まで進めることができます。(サブスクないとAttackBoxは1h/1day制限あるので自分でアタック環境あると良い) Cloud Licenseがなくても各Roomには参加できるのですが、途中のCloud環境にアクセスするところで詰まって先に進めなくなるはず。
この2つのパスは完了するとそれぞれ認定証が発行されます。このあたりからも主に法人がメインターゲットになるかなと思います。(THMのバッジではなく認定証の方です。Advent of Cyberとか完了するともらえるやつの方)
利用するための費用
Cloud Licenseを使う方法は以下の2パターンあります。
- ビジネスプランのユーザーになる($99/seat/month)
- 3ヶ月のCloud Licenseを買う($329)
ビジネスプランのユーザは、法人向けのものなので個人では無理ですね。$99/monthと高いけどTHMのサブスクとCloud Licenseが付与されて、ユーザ数カウントじゃなくてシートカウントなのでユーザの付け替えが可能だったはず。契約したことないから知らんけど。
個人ユーザがCloud License使う方法は、今のところ3ヶ月の$329課金のみですね。月額ではなく3ヶ月プランのみ。高い・・。
※今回は2025/4/15〜2025/4/18までAzure Pathリリース記念半額クーポンキャンペーンやってたので試してみました。半額でもクレカの海外取扱手数料込みで146円/$くらいのレートで決済されて、日本円にすると3万弱くらいするので、内容的に自腹切って失敗したなと後悔中・・・
Defending Azure
4つのセクションからなり、各ルームは2025/5現在以下の通りです。
(いくつかトラブルあったので今後も変更される可能性あり。4月リリース時は15ルームくらいあったような)
-
SECTION1 MS Sentinel
Introduction / Deploy / Ingest Data -
SECTION2 KQL (Kusto)
Introduction / Basic Queries / Advanced Queries -
SECTION3 Microsoft Defender XDR
Introduction / Defense Evasion / Privilege Escalation / Lateral Movement / Execution -
SECTION4 Azure Security Challenges
Azure: Can you GA? / MS Sentinel: Just Looking
ほぼほぼMS Sentinelを使ったログ分析環境の説明とチュートリアルって感じです。
クラウドボタンを押すとAzureポータルが割り当てられて、ルームによってはさらにデプロイボタンをおしてログとかルール設定が突っ込まれる流れ。ルームが終わるとAzureポータルをリリースする感じなのでルームのたびにユーザが変わります。
キャンペーンの影響なのか半額クーポン配布後の週末にはTHMテナント全体(?)のルール設定上限に達してしまいSentinelのログ分析環境がデプロイできない現象が発生。
その後、1,2週間くらいでルーム構成を切り替えて再開されました。Dicordでは、返金・延長しろとか、影響あるのは全15ルーム中3ルームのみで大差ないとか、その3ルームが実際にログ分析できる唯一価値あるルームだったりといろいろありましたが、、、まぁすぐ終わるパスなのでそんなに影響あるとは思えずワイワイしてた感じですかね。
あとKQLを使ったログ検索だとデプロイが完了した後もなかなかログが出てこないケースがけっこうあったので、デプロイ後20分くらいしてからやるとちょうどいいかも。
MS Sentinelの簡単な構築や運用はこのパスやるとできるようになるかなぁと言った感じ。あとKQLを学べるので触れたことがない人にはいい経験になると思います。SOCまわりの運用でよいと思ったSentinelのアラートに担当を割り当てて調査みたいな流れのタスクがあったと思うんだけどルームの再編で消えちゃったような。でも実機である程度操作できるのでいろいろやってみるのがいいかな。
一方で、Splunkのように実際にSentinelを使って脅威ハンティングをバリバリ体験したいと思ってる人にはこれからというところで終わるので物足りなさはでます。
こんな感じの認定証もらえました。
Attacking and Defending AWS
5つのセッションからなり、各ルームは2025/5現在以下の通りです。
-
Introduction to AWS
AWS:Cloud 101 / AWS Basic Concepts -
Introduction to IAM
Introduction / IAM Principals / IAM Permissions / IAM Credentials / Resource Policies & SCPs / The Quest for Least Privilege -
Attacking and Defending Core Services
AWS S3 / Amazon EC2 / AWS VPC(Attack and Defense) / AWS VPC(Data Exfiltration) -
Attacking and Defending Serverless
AWS Lambda / Lambda -Data Exfiltration- / AWS APi Gateway -
IAM Privilege Escalation
AWS IAM Enumeration / AWS IAM Initial Access
AWSのIAMやEC2関連やLamba等について簡単に説明と実践があって、最後にこれらを悪用してイニシャルアクセスまでチュートリアルする感じです。
こちらはクラウドボタンを押すと自分用の環境ができてAWSマネジメントコンソールのIANユーザが割り当てられます。そしてルームごとに生成ボタンがあるので、生成ボタンを押すと割り当てられた環境にそのルームに必要なリソースや権限が追加されます。Azureと違ってルームごとに環境はリセットされないです。使い回しておかしくなったら好きな時に環境リセットボタンを押す感じ。生成ボタンはわりとすぐ終わるけど、環境リセットはそれなりに時間(20分くらい?)がかかりました。
クラウドセキュリティなので、AWS各サービスの説明はそれほど詳しくありませんが、クラウドセキュリティでポイントとなる点を中心に解説されています。
オンプレとは異なるクラウドセキュリティのポイントに気づくのに良い流れで、勘どころがつかめる良い内容だったかなと思います。
AWSの方もこんな感じの認定証もらえました。
感想とまとめ
現状のAzureとAWSのパスだけだと、初心者レベルのため高額な印象。AzureとAWS合わせても1か月で終わると思うので3か月固定ではなく1か月版も出してほしいところ。
AzureはKQLを使ったバリバリの脅威ハンティングを期待していたのですが、分析ルールを設定して、引っかかったアラートを調べる程度で終わってしまった。初心者向けのMS SentinelやKQLの勉強資料としてはわかりやすく実践もできるので良いと思う。これから会社でSentinelを使い始める人や異動等で使うことになった人にはちょうどいい。ただ、これくらいのことはMSが無償で教材準備して提供してほしいですね。
AWSは、クラウドセキュリティの入口として触れるのはあり。手を動かせて侵害までたどり着けるのでよい。でもPwnedLabsというもっと安価でAWSを触りながらやるサービスもあるので、これ目当てでCloudライセンスを買うほどもないかな。
そういった意味でやはりビジネスプラン用のパスなんだなぁって感じます。法人がシートを購入して1か月ごとに数人ローテでやらせる想定な気がする。個人が自腹切ってまで楽しむにはそこまでのバリューが今のところない。MS Sentinelの実機を触れてオペレーションできることに価値を見出すぐらいか。今後もっと中級・上級のコンテンツは増えたらその価値は上がってくると思うので、個人ユーザはまだ待ちでいいかなと。(Sentinelでログハンティングしたかった、、、)