セキュリティ

07月 22日, 2020

2 分程度

Boss of the SOC v4を使って社内CTFをやってみた

横田聡

Boss of the SOC?

はじめて聞いた方もいると思いますので簡単にご紹介します。

セキュリティのBlue Team(防御側)を想定したクイズ形式のCTFイベントです
問題を解く際にSplunkを使ったセキュリティインシデント調査を行います
毎年アメリカで開催されるSplunk .conf内でCTFイベントをBoss of the SOC(通称BOTS）と呼びます

BOSS OF THE SOC v4

日本でも毎年不定期ながらBOTSをお客様向けに開催しております。参考までに昨年開催したMEGA BOTSのレポートはこちらです。そこで今回、ゴールデンウィークの休みに入る直前にSplunkの日本SE全員で社内CTFのドライラン（完全リモート）を実施しました。

SE全体でセキュリティドメインの知識を養う
完全リモートのVirtual BOTSのドライランで検討課題を洗い出す

という目的の元、半日かけて実際にCTFをやってみました。

オープニングを全員でスタートします

CTFに利用したコンテンツは、昨年Splunk .confで披露されたばかりのBoss of the SOC v4です。v4では新たにICSセキュリティ（ビール工場）のシナリオが出てきていました。そして昨年(2019年)に日本で開催したMEGA BOTSの際にも利用したEnterprise Security、UBA、SOARの御三家ももちろん利用しています。

各チーム内で誰がどのシナリオの問題を解くか分担したり、分からない問題があったら協力しながら解いて、全チーム疲れながらも楽しんでCTFイベントをやりきりました！

チームに別れてZoomとSlackを使いながらコミュニケーション

実は過去のBOTSコンテンツは誰でも自由に利用できます！

自己学習または社内CTFにBOTSコンテンツを使いたいと思った方は以下ご参考ください。

BOTSデータの使い方ガイドの日本語記事

Splunkを使ったセキュリティインシデント調査レーニング

過去のBOTSデータはgithub上で共有されています。
BOTSv1データセット
BOTSv2データセット
BOTSv3データセット

以上で自己学習のための環境は準備できます。更に社内CTF実現のためにBOTSのスコアサーバまで利用したい場合はこちらのAppダウンロードサイトにて登録の上、ご利用ください。

今年は日本のお客様向けに完全リモート開催を想定したVirtual BOTSを企画していますので乞うご期待ください！！

追記：
Splunk Boss of the SOC v6 Japanを開催することが決定いたしました！

BOTSv6 Japanは、SOCのセキュリティアナリストの方々を対象に、Splunkがご提供するワークショップです。現場の方々のスキル習得・熟練度の確認のために、現実に近い環境で、セキュリティハンティングを体験いただけます。当ワークショップはCapture The Flag（CTF）形式を採用しており、複数人によるチームで対抗するコンペティションとなります。

上位入賞チームには景品もご用意致します。

是非奮ってご参加いただけますようお願い申し上げます。

■ 2022年10月7日（金）開催 BOTSv6 Japan お申し込みはこちら

タグ

Boss of the SOC

横田聡

2017年Splunk Services Japan合同会社入社。シニアセールスエンジニア、セキュリティSMEとして、Splunkを軸としたセキュリティソリューション提案を行う活動をしている。

Splunk入社以前はエンドポイントセキュリティベンダーやMSSサービスを提供するベンダーなどを経験。

最近は、セキュリティ運用の自動化(SOAR)とさらにその先の展開を見据えながら、いかに日々の業務の中でSplunkを利活用してもらうかを考え、ユーザーに提案し、実践してもらうまでの支援を行なっている。

セキュリティ 1 分程度

SIEM/SOARを評価する、IDC Japan Vendor Spotlightがリリース！

IDC JapanのアナリストによるSIEM/SOARの評価レポート。他社を含めた市場概況の解説と、Splunkソリューションの評価と課題を分析しています。無料でお読みいただけます。境界防御から侵入前提でのセキュリティ対策へとシフトし、SIEMによる高度なデータ分析によるリアルタイムでの脅威の可視化と対応の自動化がサイバーレジリエンシー向上のための重要な要素。

セキュリティ 3 分程度

<第2回>Splunkでセキュリティダッシュボードを作成しよう！データの取り込み(その1)

全10回のブログを通して、Splunkを使ったセキュリティダッシュボード作成手順を説明します。シリーズの第2回目として、ダッシュボードのソースであるログの取り込みなど、データの取り込み手法の検討について紹介します。

セキュリティ 9 分程度

セキュリティ侵害の種類：トップ10とその実例

近年増加し続けているセキュリティ侵害から組織を保護する方法セキュリティ侵害の種類トップ10とその実例について説明します。一般的な侵害の種類、実例、および効果的な保護戦略をご覧ください。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら