Japan
サイト内の現在位置
Splunk Boss of the SOCに向けた取り組みの紹介
NECセキュリティブログ2024年5月31日
NECサイバーセキュリティ戦略統括部セキュリティ技術センターの小泉、松井、桐下です。
本ブログでは、Splunkのユーザ会であるGo Japan Splunk User Group様が主催する【GOJAS Meetup-22】SplunkマニアックスVol.7
[1]というイベントにて講演した内容についてお伝えします。
目次
講演に至った経緯
講演内容
【GOJAS Meetup-22】SplunkマニアックスVol.7にて講演した「BOTS(Splunk Boss of the SOC)に向けた取り組みの紹介」の一部を抜粋して以降記載します。
普段のSplunkの活用事例、サイバー攻撃技術検証での活用、Splunk Boss of the SOCに向けての取り組みという流れで紹介します。
普段のSplunkの活用事例
プライベートを含めたSplunkの活用事例として次の3点を紹介しました。
- ゲームの対戦結果をSplunkダッシュボードを用いて分析
- NECセキュリティブログの裏話①「EPSSとCVSSを組み合わせた脆弱性ハンドリング」
- NECセキュリティブログの裏話②「HayabusaとSplunkによるファストフォレンジック効率化」
ゲームの対戦結果を音声入力でデータ化し、そのデータをSplunkに取り込み分析を行っていた事例です。セキュリティや業務以外にもSplunkを活用することができるというアイデアの紹介です。デジタル化されていない情報をどうやったらデータ化でき、Splunkに取り込むことができるのかを考える事が大切です。
EPSSとCVSSのデータをPythonスクリプトで取得し突き合わせて分析することで、緊急度と悪用される確率の高い脆弱性見つける方法を記載したNECセキュリティブログの記事[4]を紹介しました。ダッシュボードにまとめ、ドリルダウンを行うことで効率的に優先度の高い脆弱性を絞り込むことができます。
脅威ハンティングツールであるHayabusaのログ/ルールをSplunkに投入して、ファストフォレンジックを効率化する方法を記載したNECセキュリティブログの記事[5]を紹介しました。事前にSplunk上で実際に調査する際の流れを考慮したインタラクティブな解析用ダッシュボードを生成することで解析を効率化することができます。
サイバー攻撃技術検証での活用
次に、Splunkを用いてサイバー攻撃技術の検証を行った2つの事例について紹介をしました。
また、単体のサイバー攻撃検証だけではなく、疑似的な企業ネットワーク環境へのサイバー攻撃に対する攻撃検知の手法についてもSplunkを活用して研究を行っています。この研究成果については、第30回総関西サイバーセキュリティLT大会[8]の基調講演にて発表を行いました。
BOTS(Splunk Boss of the SOC)に向けての取り組み
最後に、Splunk Boss of the SOCに向けて筆者らが取り組んだ内容、大会当日のTips等を紹介しました。
筆者らのSplunk Boss of the SOC初参加に向けた取り組みを振り返りました。Splunk Phantom(Splunk SOAR)の環境構築、および公開されたSplunk Boss of the SOCの過去問に取り組んで大会当日の準備をしました。
また、Splunkの簡易的なトレーニングコンテンツを作成、活用しました。Splunkに実際に触れながら、検索の仕組み、利用方法を学ぶことができます。
Splunk Boss of the SOCのTipsを紹介しました。早く解くほど高得点を獲得可能であるスピードボーナスを意識したり、時間経過による自動開封タイミングでヒントを活用したりすることで高得点を狙っています。
昨年開催された Splunk Boss of the SOC v7に取り組んだ際の内部チャットからどのようなデータがよく問われているのか、回答を行うために必要なコマンドはどのようなものだったのかをまとめた内容を紹介しました。
Wndowsのイベントログが最も出題されており、近年ではAWSなどのクラウドサービスのログも問われる傾向がありました。また、複雑なコマンドを使用しなくても回答できる問題が多い傾向がありました。
当日は短時間で解ける問題を2名で解き、高得点かつ時間のかかるAPT侵害調査問題を2名で解く流れが近年の役割分担であることを紹介しました。同じ場所で参加していたとしても、問題の考え方などをDiscordを利用して共有しあっています。
さいごに
今回は、Splunk Boss of the SOCに向けた取り組みに関する講演内容をお伝えしました。皆様がSplunk Boss of the SOCに参加する際に本ブログが参考になれば幸いです。
次回のSplunk Boss of the SOCも楽しみにしています。
また、【GOJAS Meetup-22】SplunkマニアックスVol.7の様子がSplunk様のブログ[9]に記載されておりますのでぜひこちらもご覧ください。
参考資料
- [1]【GOJAS Meetup-22】SplunkマニアックスVol.7 | Doorkeeperhttps://gojas.doorkeeper.jp/events/170780
- [2]Splunk Japan主催のCTF(10/7 BOTSv6)開催レポート | Splunkhttps://www.splunk.com/ja_jp/blog/security/virtual-ctf-botsv6.html
- [3]Splunk Boss of the SOC参加レポート| NEC
https://jpn.nec.com/cybersecurity/blog/231222/ - [4]EPSSとCVSSを組み合わせた脆弱性ハンドリング | NEC
https://jpn.nec.com/cybersecurity/blog/231110/ - [5]HayabusaとSplunkによるファストフォレンジック効率化 | NEC
https://jpn.nec.com/cybersecurity/blog/230929/ - [6]Yamato-Security/hayabusa | GitHubhttps://github.com/Yamato-Security/hayabusa
- [7]Offensive Security Lab Japan | connpasshttps://off-sec-lab.connpass.com/
- [8]総関西サイバーセキュリティLT大会(第30回)| connpasshttps://sec-kansai.connpass.com/event/229603/
- [9]GOJAS Meetup-22 レポート | Splunkhttps://www.splunk.com/ja_jp/blog/customers/gojas-meetup-22-report.html
執筆者プロフィール
小泉 嘉彦(こいずみ よしひこ)
セキュリティ技術センター
NECサイバーセキュリティ訓練場演習の立ち上げを行った後に大規模国際イベントや官民向けのサイバーセキュリティ対応とし脅威インテリジェンス・フォレンジック・マルウェア解析・ペネトレーションテストに従事。現在はNEC Cyber Security Dashboardの企画・開発・運営に従事し、NECグループ全社員に向けてのセキュリティアウェアネス向上を目指す。
5×Splunk Boss of the SOCトロフィー、3×Taniumメダルを保持
情報処理安全確保支援士(RISS)、CISSPを保持
執筆者の他の記事を読む
執筆者プロフィール
松井 祐輔(まつい ゆうすけ)
セキュリティ技術センター
脅威インテリジェンス、内部侵入攻撃対策を専門とする。
大規模国際イベントや官民向けのサイバーセキュリティ対応業務を経て、現在はNEC CSIRT Cyber Threat Intelligenceなどの業務に従事。
CISSP、CISA、2×SANSメダル、5×Splunk Botsトロフィー、Offensive Securityメダル、3×Taniumメダルを保持。
YamatoSEC上忍、AD Hack WGリード、Hardening Project Kuromame6 メンバー、Offensive Security Lab Japan実行委員
執筆者の他の記事を読む
執筆者プロフィール
桐下 拓也(きりした たくや)
セキュリティ技術センター
大規模国際イベントのサイバーセキュリティ対応業務を経て、現在はインシデント対応、ペネトレーションテスト、NEC CSIRTなどの業務に従事。
2×SANSメダル、5×Splunk Boss of the SOCトロフィー、2×Taniumメダルを保持
CISSP、GCFA、OSDA、OSCP、OSWPを保持
執筆者の他の記事を読む
アクセスランキング
2025年3月16日~3月22日に読まれた記事のランキング
