サイト内の現在位置

Splunk Boss of the SOCに向けた取り組みの紹介

NECセキュリティブログ

2024年5月31日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの小泉、松井、桐下です。
本ブログでは、Splunkのユーザ会であるGo Japan Splunk User Group様が主催する【GOJAS Meetup-22】SplunkマニアックスVol.7new window[1]というイベントにて講演した内容についてお伝えします。

目次

講演に至った経緯

本ブログ筆者である小泉、松井、桐下に加え、NECソリューションイノベータ所属の梅木がSplunk Boss of the SOCnew window[2] というSplunkを用いてセキュリティインシデントの調査を行う大会に毎年参加し、複数回好成績を収めています。継続して好成績を収めたことで、筆者らがSplunk Boss of the SOCに向けて取り組んでいる内容について講演する機会をいただくことができました。

Splunk Boss of the SOCの概要は、別途ブログ[3]で紹介していますのでぜひご確認ください。

講演内容

【GOJAS Meetup-22】SplunkマニアックスVol.7にて講演した「BOTS(Splunk Boss of the SOC)に向けた取り組みの紹介」の一部を抜粋して以降記載します。

普段のSplunkの活用事例、サイバー攻撃技術検証での活用、Splunk Boss of the SOCに向けての取り組みという流れで紹介します。

普段のSplunkの活用事例

プライベートを含めたSplunkの活用事例として次の3点を紹介しました。

  • ゲームの対戦結果をSplunkダッシュボードを用いて分析
  • NECセキュリティブログの裏話①「EPSSとCVSSを組み合わせた脆弱性ハンドリング」
  • NECセキュリティブログの裏話②「HayabusaとSplunkによるファストフォレンジック効率化」

ゲームの対戦結果を音声入力でデータ化し、そのデータをSplunkに取り込み分析を行っていた事例です。セキュリティや業務以外にもSplunkを活用することができるというアイデアの紹介です。デジタル化されていない情報をどうやったらデータ化でき、Splunkに取り込むことができるのかを考える事が大切です。

EPSSとCVSSのデータをPythonスクリプトで取得し突き合わせて分析することで、緊急度と悪用される確率の高い脆弱性見つける方法を記載したNECセキュリティブログの記事[4]を紹介しました。ダッシュボードにまとめ、ドリルダウンを行うことで効率的に優先度の高い脆弱性を絞り込むことができます。

脅威ハンティングツールであるHayabusaのログ/ルールをSplunkに投入して、ファストフォレンジックを効率化する方法を記載したNECセキュリティブログの記事[5]を紹介しました。事前にSplunk上で実際に調査する際の流れを考慮したインタラクティブな解析用ダッシュボードを生成することで解析を効率化することができます。

サイバー攻撃技術検証での活用

次に、Splunkを用いてサイバー攻撃技術の検証を行った2つの事例について紹介をしました。

サイバー攻撃に関する技術を検証する際に、Splunkをインストールした評価環境を用いて検証を行っています。Splunkを活用することで、検証時に必要となるログの確認を効率的に行うことができます。検証の成果はセキュリティコミュニティnew window[6]new window[7]の活動にフィードバックを行っています。

また、単体のサイバー攻撃検証だけではなく、疑似的な企業ネットワーク環境へのサイバー攻撃に対する攻撃検知の手法についてもSplunkを活用して研究を行っています。この研究成果については、第30回総関西サイバーセキュリティLT大会new window[8]の基調講演にて発表を行いました。

BOTS(Splunk Boss of the SOC)に向けての取り組み

最後に、Splunk Boss of the SOCに向けて筆者らが取り組んだ内容、大会当日のTips等を紹介しました。

筆者らのSplunk Boss of the SOC初参加に向けた取り組みを振り返りました。Splunk Phantom(Splunk SOAR)の環境構築、および公開されたSplunk Boss of the SOCの過去問に取り組んで大会当日の準備をしました。

また、Splunkの簡易的なトレーニングコンテンツを作成、活用しました。Splunkに実際に触れながら、検索の仕組み、利用方法を学ぶことができます。

Splunk Boss of the SOCのTipsを紹介しました。早く解くほど高得点を獲得可能であるスピードボーナスを意識したり、時間経過による自動開封タイミングでヒントを活用したりすることで高得点を狙っています。

昨年開催された Splunk Boss of the SOC v7に取り組んだ際の内部チャットからどのようなデータがよく問われているのか、回答を行うために必要なコマンドはどのようなものだったのかをまとめた内容を紹介しました。
Wndowsのイベントログが最も出題されており、近年ではAWSなどのクラウドサービスのログも問われる傾向がありました。また、複雑なコマンドを使用しなくても回答できる問題が多い傾向がありました。

当日は短時間で解ける問題を2名で解き、高得点かつ時間のかかるAPT侵害調査問題を2名で解く流れが近年の役割分担であることを紹介しました。同じ場所で参加していたとしても、問題の考え方などをDiscordを利用して共有しあっています。

さいごに

今回は、Splunk Boss of the SOCに向けた取り組みに関する講演内容をお伝えしました。皆様がSplunk Boss of the SOCに参加する際に本ブログが参考になれば幸いです。
次回のSplunk Boss of the SOCも楽しみにしています。

また、【GOJAS Meetup-22】SplunkマニアックスVol.7の様子がSplunk様のブログnew window[9]に記載されておりますのでぜひこちらもご覧ください。

参考資料

執筆者プロフィール

小泉 嘉彦(こいずみ よしひこ)
セキュリティ技術センター

NECサイバーセキュリティ訓練場演習の立ち上げを行った後に大規模国際イベントや官民向けのサイバーセキュリティ対応とし脅威インテリジェンス・フォレンジック・マルウェア解析・ペネトレーションテストに従事。現在はNEC Cyber Security Dashboardの企画・開発・運営に従事し、NECグループ全社員に向けてのセキュリティアウェアネス向上を目指す。

5×Splunk Boss of the SOCトロフィー、3×Taniumメダルを保持
情報処理安全確保支援士(RISS)、CISSPを保持

執筆者の他の記事を読む

執筆者プロフィール

松井 祐輔(まつい ゆうすけ)
セキュリティ技術センター

脅威インテリジェンス、内部侵入攻撃対策を専門とする。
大規模国際イベントや官民向けのサイバーセキュリティ対応業務を経て、現在はNEC CSIRT Cyber Threat Intelligenceなどの業務に従事。

CISSP、CISA、2×SANSメダル、5×Splunk Botsトロフィー、Offensive Securityメダル、3×Taniumメダルを保持。
YamatoSEC上忍、AD Hack WGリード、Hardening Project Kuromame6 メンバー、Offensive Security Lab Japan実行委員

執筆者の他の記事を読む

執筆者プロフィール

桐下 拓也(きりした たくや)
セキュリティ技術センター

大規模国際イベントのサイバーセキュリティ対応業務を経て、現在はインシデント対応、ペネトレーションテスト、NEC CSIRTなどの業務に従事。

2×SANSメダル、5×Splunk Boss of the SOCトロフィー、2×Taniumメダルを保持
CISSP、GCFA、OSDA、OSCP、OSWPを保持

執筆者の他の記事を読む

アクセスランキング