Ihr habt bestimmt schon gehört, dass „Boss of the SOC“ (BOTS) bei der Splunk .conf montagabends ein absolutes Muss ist? Version 7 von BOTS startet am Montag, 13. Juni um 18:00 Uhr (PDT) – also bildet ein Team und registriert euch noch heute!
Was ist Boss of the SOC?
BOTS ist ein Blue-Team-Spiel im Jeopardy-Stil, ein Capture-the-Flag-Wettbewerb (CTF), bei dem die Teilnehmer Splunks Security Suite nutzen, um eine Reihe von Fragen zu realen Incidents zu beantworten, mit denen Sicherheitsanalysten regelmäßig konfrontiert sind. Wir haben BOTS entwickelt, weil wir es leid waren, auf Sicherheitskonferenzen nur auf Red Teams ausgerichtete CTFs vorzufinden. Es gibt zwar schon andere Blue-Team-CTFs – allen voran der Vorreiter SANS NetWars – aber bei kaum einem wird der Versuch unternommen, den Alltag eines Sicherheitsanalysten nachzustellen, der einen Angreifer in allen Stadien des Angriffs bekämpft.
Beim Entwickeln von BOTS haben wir alles daran gesetzt, Fragen zu stellen, die den Teilnehmern nicht nur Splunk-Kenntnisse abverlangen, sondern auch Know-how in der Recherche von Open-Source-Intelligence (OSINT). Außerdem braucht es unkonventionelles Denken über den „Splunk-Tellerrand“ hinaus. Na, habt ihr Lust?
Wie geht es mit unserer Lieblingsbrauerei weiter?
Ihr werdet alle wieder in die Rolle von Alice Bluebird schlüpfen, unserer findigen Splunk-Sicherheitsanalystin, die es nach dem Antritt ihrer Stelle bei Frothly Home Brewery vor sechs Jahren nicht gerade leicht hatte. Nach dem Angriff im letzten Sommer beschloss Alice, sich eine wohlverdiente Auszeit auf einer tropischen Insel zu gönnen. Schließlich greift Violent Memmes sowieso nur im August an. Warum sollte sich das jemals ändern?
Während Alice irgendwo an einem fernen Strand unter einem Sonnenschirm sitzt und einen Cocktail schlürft, treibt Grace die Übernahme von Toads Pest Controls weiter voran. Im Laufe der Gespräche beschließt Toads, mehrere Tools außer Betrieb zu nehmen und die eigene Splunk-Instanz mit der von Frothlys zu integrieren, damit alle Daten an einem Ort erfasst werden können. In der Zwischenzeit beschließt Violent Memmes, Toads Pest Control während der Splunk-Infrastrukturmigration anzugreifen.
Soll ich BOTS spielen?
Ja! Wir haben schon an anderer Stelle beschrieben, wer spielen sollte, wollen es aber hier noch einmal wiederholen. Wenn ihr so weit gekommen seid, könnt ihr davon ausgehen, dass BOTS genau das Richtige für euch ist.
Wir sagen den Leuten normalerweise, dass sie sich etwas mit Splunk-Sicherheitslösungen und mit Security-Fragen auskennen müssen, um bei BOTS mithalten zu können. Aber wirklich wichtig ist eigentlich nur der Wunsch, Neues zu lernen und Spaß zu haben.
Die Fragen in BOTS decken die gesamte Bandbreite von ganz einfach bis wirklich knifflig ab. Zu jeder Frage gibt es Hinweise, die euch in die richtige Richtung lenken. Wenn euch die Hinweise ausgehen, stehen vor Ort und online Coaches bereit, die euch weiterhelfen. Außerdem solltet ihr immer daran denken, dass BOTS ein Teamsport ist. Wenn ihr mit eurer Crew antretet, seid ihr nicht allein
Wenn all dies noch nicht ausreicht, um euch davon zu überzeugen, dass BOTS ein sicheres, angenehmes und unterhaltsames Lernumfeld bietet, könnt ihr jetzt auch ganz einfach anonym spielen. Ihr fühlt euch auf der großen Ergebnistafel etwas beobachtet? Kein Problem. Schaltet einfach den anonymen Modus ein, um ganz ohne Druck die Aufholjagd zu starten oder euren nächsten Zug zu planen.
Wie kann ich mich vorbereiten?
- Schaut euch frühere BOTS-Versionen, Workshops und andere sicherheitsbezogene Splunk-Inhalte auf https://bots.splunk.com an.
- Lest euch die Blog-Reihe „Hunting With Splunk“ durch. Wenn ihr euch mit den Themen auskennt, die in dieser Reihe behandelt werden, könnt ihr die Fragen schneller beantworten.
- Nutzt die kostenlose Schulung „Splunk Fundamentals 1“.
Das Kleingedruckte
Da war doch noch was? Um bei BOTS mitspielen zu können, ist eine Registrierung erforderlich. Am Spieltag ist keine Registrierung mehr möglich.
- Jeder Teilnehmer muss sich auf bots.splunk.com anmelden.
- Bitte gebt bei der Registrierung eine E-Mail-Adresse an, auf die ihr am Veranstaltungstag zugreifen könnt.
- Ihr braucht einen Laptop mit WLAN, auf dem ein unterstützter Webbrowser ausgeführt wird.
- Um vor Ort in Las Vegas an BOTS teilzunehmen, müsst ihr für die .conf22 Las Vegas registriert sein. Alle BOTS-Teilnehmer können virtuell mitspielen.
- Wenn ihr vorher schon einmal persönlich dabei wart, kennt ihr die WLAN-Turbulenzen – und die damit verbundenen peinlichen Situationen! Bringt also bitte einen USB-Netzwerkadapter für euren Laptop mit! Für den Präsenzteil des Wettbewerbs werden Kabel zur Verfügung gestellt.
Hier nochmal die wichtigen Links:
Für die .conf22 könnt ihr euch unter diesem Link registrieren und für BOTS unter https://bots.splunk.com. Fragen beantworten wir gern unter bots@splunk.com.
Allen Unterhaltungen auf der #splunkconf22 folgen!
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
