先日、Blue Team Level 1を受けてきまして試験をパスすることができました。
今回は、その時の体験談を記しておこうと思います。
はじめに
Blue Team Level 1(BTL1)とは
Blue Team Level 1(BTL1)とは、Security Blue Teamが提供している実践的なサイバー防御スキルを開発を目的としたトレーニングおよび認定資格です。
主な対象者は初心者からジュニア層向けの内容となっています。
学ぶことができる主なスキルは次の通りになります。
- フィッシング攻撃の分析と対応
- フォレンジック調査およびデジタル証拠を収集・分析
- SIEMプラットフォームを使用して悪意のあるアクティビティを調査
- マルウェア感染を含むログとネットワークトラフィックの分析
- 脅威アクターの調査
トレーニングコースを通じて学ぶことができるツールは次のものがあります。
詳細は、
Blue Team Level 1 Certification » Security Blue Team
を見てください。
勉強方法
合格記
学習を開始する前の恒例行事として他の方々の合格記を見るようにしています。
今回は以下の記事を参考にしました。
Blue Team Level 1を取ったので少し経験をシェア #Security - Qiita
Blue Team Level 1 gold coinを獲得しました。 - 4ensiX
Blue Team Level 1 — The Golden Standard for Defensive Cyber Training | by Arion Martin | Medium
トレーニング
教材はブラックフライデーのセール時に購入しました。
ぶっちゃけもう少し安くなってくれることを期待していたのですが、「BLUE TEAM LABS ONLINE(BTLO)」のバウチャーがついてくるだけでした。BTLOとは、防御者がセキュリティ調査や課題解決のスキルを練習するためのゲーム化されたプラットフォームであり、TryHackMeやHackTheBoxのようなものとなります。
[
トレーニングコースには、各テキスト教材と
実践形式でツールを動かしながら質問に答えていくラボ環境、
学習した知識を確認するクイズがあります。
すべてのトレーニングを1ヶ月ほどで完了しました。
大まかな部分(ログ分析やメール分析)についてはほぼほぼ知っているものが多かったのでサクサク進めました。
受験
受験まで
トレーニング終了後は、受験日を2,3月あたりと決めて、初めて使うフォレンジックツールなどの使い方を重点的に復習しようと計画しており、
また、BTLOなども試しておいた方がいいだろうと思っていたので無料分をプレイしながら無料分が終わったら購入したバウチャーを使ってProも試す予定でした。。。
予定だったのですが、仕事でのストレスやらJSACなどのイベントの刺激を受けた結果、急に飽きてしまいましたww
トレーニング内容には試験を2回まで(再試験分)受ける権利も入っていたので、さっさと受けて落ちたら再受験すればいいか、と若干投げやりな気になってしまい、1月末で受験することに急遽決めましたw
受験当日
試験時間は24時間であり、発生したインシデントシナリオに沿って20問の質問がり、各々分析結果を回答していく形式となります。
分析対象はSIEMを使ったログ分析から侵害されたPCのイメージ、メール、Active Directoryサーバ、ネットワークトラフィックデータなどがあります。
試験当日は下記の通りに進みました。
- スケジュール
| 時刻 | 内容 |
|---|---|
| 15:30 | 試験開始準備 |
| 15:45 | 試験開始 |
| 15:45-20:30 | 分析・解答 |
| 20:30-22:00 | 休憩 |
| 22:00-01:30 | 再分析・見直し |
| 01:30 | 提出 |
終了
結果
結果は一発でPASSすることができました。
しかも、Scoreは100でしたw
「合格できればいいや」の気持ちで受けており、しかもこう言った完全一致の解答はどっかでミスや想定外の文字抜けで数問落とすだろうと思っていたのでちょっと嬉しかったです。
感想
課題
試験を受けていて気付いた自分への課題もありました。
- 正常稼働している前提で動いている
問題回答の基本はリモートデスクトップから文字列情報をコピーし、回答欄に貼り付けるものとなります。
この際、コピーできる文字数には上限があります。当初このことに気づかず(限度はあるとは思っていましたが、基本回答となる文字列の数ならば許容されているものと思っていました)、また、回答欄も表示される文字幅があったため回答完了して満足していました。
再分析、および見直しの際に回答欄に文字が一部しか含まれていないことに気付き、修正する事態がありました。
こういった、正常に動くだろうという前提のもと動いていることがあるので気を付けたいと思うとともに、日ごろからつけている見直す癖は今後とも続けていくことを心に決めました。
- ログを重視しがち
職業柄、基本はログを分析し、フォレンジック関連の調査は一切関わらないため、情報を「ログ」から探す癖がついていました。
ある問題に対しても、ログから情報を探し、これか?でも他に関連するログないし、と少しモヤモヤしながら回答したのですがその後フォレンジック分析しているとその回答としてよりベストな情報が出てきました。この情報ログに残っていたっけ?と思い再度その情報をSIEMから探したのですが、関連する情報が一つも引っかからなかったので、SIEMだけを見ていたら間違っていました。
仕事ではログ情報しか見れないため仕方がない部分があるとはいえ、少し視野が狭くなっていたことに気付けたのはよかったです。
比較
Blue系の資格は様々ありますが、今回のBTL1との近い領域の一つに「OffSec Defense Analyst(OSDA)」があります。
こちらも以前取得しているので、主観にはなりますが比較しながら書いていこうと思います。
「Security Certification Roadmap」によれば、
・領域はインシデントハンドリングは共通しているが、重ならない分野もある
・難易度としては、BTL1がちょっと上
に位置付けられています。
Security Certification Roadmap - Paul Jerimy Media
難易度
難易度としてはBTL1>OSDAとなっていますが、さほど大きな違いはないと思います。
OSDAはSIEMのログ分析だけなのに対し、BTL1はログ分析に加えPhising攻撃分析やフォレンジック調査、トラフィックログ分析、OSINTといった様々な調査能力が求められます。しかし、複数の能力が求められてはいますがどれも深い専門的な能力ではなく、少しツールが使えて得られる情報を処理できればいいレベルとなっています。BTL1はインシデントレスポンス能力を広く浅く求められるのに対し、OSDAはログ分析のみを少し深く(といってもあまり深くはない)掘り下げた能力を求められています。
また、問題についてもOSDAはほぼノーヒントなのに対して、BTL1は問題文から何の情報を探すのかがわかる上に(完全一致の回答するので仕方がないのですが)回答のフォーマットまでも提示してくれるためある程度回答が絞られてしまいます。
さらに、OSDAの採点はレポートとなるため、回答・作成する手間を考慮すればOSDAの方がハードルは高いかなと思います。
手の出しやすさ
| OSDA | BTL1 | |
|---|---|---|
| 値段 | $1649 | £399 |
| トレーニング受講期限 | 90 Days | 4 Months |
| 内容 | ログ分析 | フィッシング攻撃/フォレンジック/ログ分析/トラフィックログ調査 |
※ 記事執筆時点の情報となります。比較は最安値のトレーニングを記載しています。
最新の情報は、OSDA、BTL1を参照ください。
...............値段につきましては、まあうんOSDAはスポンサーが欲しくなりますね...
対象
最後にそれぞれの資格の対象者ですが、あくまで主観となりますが、
OSDA・・・SOCアナリスト
BTL1 ・・・ CSIRTメンバー
といった感じになります。
これは試験の形式・問われている内容からこのように感じています。(もちろん対象者以外が受けるべきではないということではありません)
OSDAでは、疑似攻撃がリアルタイムに行われそのログを分析するといった内容であり、どういった攻撃であるかのヒントはありません。攻撃の兆候を見つけることも受験者に求められ、また試験では自作したアラートをSIEMにインポートできることからよりSIEMおよび攻撃の起点となるアラートを発報させてそのアラートを起点に調査を開始するSOCアナリストの能力が問われています。(本来ならば)リアルタイムで事象が進行していることから分析に長時間かけることはできず、ある程度の事象の把握を素早く行い、通報や抑制対応を行うことが重要となります。
BTL1では、すでに起こった過去の事象について証拠を集めて攻撃内容を把握することが求められています。現在進行形の事象ではないため分析のための時間はある程度猶予がある代わりに、より詳細な事象の把握が必要となります。閲覧されたデータや侵害があったアカウントの特定などはインシデントレスポンスの分野となり、リアルタイム対応が必要なSOC業務とは少し異なっています。
おわりに
BTL1を受講した感想ですが、インシデントレスポンスの基本的な内容を学ぶことができるいいコンテンツだと思います。
私は入社してからSOC業務を続けてきており、現在もSOCアナリストがメイン業務となっているためインシデントレスポンスの経験がほぼなく、強いてあげるならインシデント後のログを再分析するぐらいだったので、フォレンジック調査を学べるのは新鮮な気分でした。
試験も一発合格できて嬉しかったですし、完全一致の回答のため多少のミスはあるだろうと思っていましたが全問正解できていたのは思わぬ誤算でしたw。
BTL1では、初回の試験で90%スコア以上でパスすると「gold challenge coin」がもらえるそうなので、楽しみにしています。
次の目標としてBTL1の一つ上に「Blue Team Level 2(Advanced Security Operations Certification)」があるので受けてみたいのですが、トレーニング費用が£1,999(約37万 ※執筆時点)となり、さすがに個人負担だと厳しいものがあるためちょっと保留中となります。ブラックフライデーの時に少し安くなるようですが、限度もあるでしょうし。
なので、ちょっと別のものに手を出そうかと思っています。マルウェア解析系にも手を出したいと思っているのでそっちかな(解析環境を構築中なのでいっそのことそっちをしたい)。
また、今回ブラックフライデーの時にトレーニングを購入したのでBTLOのバウチャーもついていたのですが、結局Proを購入する前に試験を受けてしまったので、折角だから暇つぶしでBTLOのProに着手しようと思っています。
ここまで、拙い文章を読んでいただきありがとうございました。
