6月14日にOSDA試験を受け、無事に合格したのでその記録です。OSCP,OSWA,OSWPに続けて4つ目です。これでOffSecの200番台はすべて取れました。
筆者の背景・受験の理由
高専から大学院まで9年間の情報系学生を経て、現在は脆弱性診断・ペネトレーションテストや研修講師対応に従事する4年目社員です(n回目のテンプレ)。
普段はレッド寄りの業務も多いですが、本来の職務はビジネスリスクの低減なのでブルー寄りの知識も身に着けなければと思いSOC-200(OSDA)の勉強をすることにしました。結果的にはOSCP相当の知識を身に着けた上でOSDAを受験したのは良かったと思います。OSCPではこんな風に攻撃するけどログにはこう出てくるのか~、という点が勉強になりました。攻撃も防御も表裏一体なので偏らないように勉強するとバランスが取れそうです。
OSDAとは
OSDAはELKを使用して攻撃者が行う10フェーズの攻撃をログから解析し報告書を記載する試験です。トレーニングとしてはSOC-200が対応します。
トレーニングでは攻撃の概要を理解した上で、powershellやpythonを使用して生ログを解析します。その後、SEIMとしてELKを使用して実際の攻撃がどのようにログに出力するか学習します。なお、全体を通してログは改ざんも消去もされません。
勉強方法
まずはトレーニングとLABSを100%しました。期間としては25日間だったようです。Learn Unlimitedの残り期間が2か月ほどだったので慌てて駆け抜けました。
赤だけじゃなく青もやらねばということで pic.twitter.com/UQA47YNoYs
— pome (@pome_11) May 15, 2024
次はCHALLENGE LABSやら試験準備だ pic.twitter.com/bpt5GtSoVM
— pome (@pome_11) June 7, 2024
攻撃概要についてはOSCPと重複するので、OSCP相当の知識がある人は流し読みでも問題ないです。攻撃した痕跡として何が残るのかだけ注意すると良いと思います。
また、powershellやpythonを使用して生ログを解析する演習もありますが、これが必要になるかどうかは人によりそうだという印象を受けました。私がブルー寄りの業務に明るくないこともあり、この自作スクリプトはいつ使うのだろうと思いながら演習をしてました。既存のツール使って吸い出し・解析する人の方が多いような…。
SOC-200で最も価値があるのは18,19章のSEIMの使い方と、13セットのCHALLENGE LABSです。CHALLENGE LABSでは攻撃開始ボタンを押下するとKibanaの方にログが出てくるのでそれを解析するという形です。一部のCHALLENGE LABSに関してはOSA-SOC-200の方で動画解説があります。また、Discord上のHint-botで各攻撃フェーズの解説を見ることができます。なお、他のブログではHint-botは30分に一度という記述がありましたが現在は時間制限がないようでした。積極的に使用することをおすすめしますが、たまにログに出てないことも言い始めるので怪しいと思ったら検索しましょう。他の人がツッコミを入れている様子が見えたりします。
私はCHALLENGE LABSを1週間で一通り終えました。ここでCheatSheetやらRuleやらDashboardやらを事前に準備しておくと試験でも役に立つと思います。私は試験の6時間前までCHALLENGE LABSの勉強が終わらなかったので頭にすべて叩き込んで試験に臨むことになりました。計画的な学習を行うことをおすすめします。
どっどど どどうど どどうど どどう https://t.co/tHPM5IxcC0 pic.twitter.com/R2ITouczA7
— pome (@pome_11) June 14, 2024
予約や事前準備
試験予約は受験1週間前に行いましたが、ちらほらと席は空いている印象でした。3回までリスケが可能なので事前に予約することをおすすめします。
また、普段から部屋を片付けましょう。試験開始2時間前に物を廊下に押し出す作業はとても体力を使います。
当日の内容
CHALLENGE LABS相当の内容が出題されたと思います。
一番不安だったのはマシントラブルでしたが、私の時は特に起きてはいないようでした。終了する前に一度revertかけて全フェーズ流しましたが、見覚えのあるログしか出てこなかったのでおそらく正常に動いていたはずです。最近のブログや先輩の体験談からはトラブルが減っているような印象を受けました。
細かい試験のコツとしては、各フェーズには難易度に差があるので心を折られないようにとか、KibanaのURLはコピーすれば列やらフィルタやら保持したまま新しいタブで開けるとか、RulesがAlertに出てくるまでちょっと時間差があるとか、攻撃タイミングを制御できてrevertも行えるというプレイヤーチートを活用しようとか、攻撃開始前のベースラインも見ようとか、作業中も証跡のバックアップは定期的に取得すると安心とか、そのあたりかと思います。
あと、報告書に関してはWordからPDFに変換する際に画質が落ちるという問題が起きるので気を付けてください。私の環境では名前を付けて保存でPDFにするとギリギリ見えるくらいの画質となり、Print to PDFで印刷するとまあ見えるくらいの画質になりました。結局直し方は分かりませんでしたが、時間に余裕がある方は事前に確認orスクショを横長にしすぎない工夫を行うことを推奨します。
合格通知
6月15日(土) 23:07に報告書を提出し、6月17日(日) 17:47に合格通知が届きました。他の試験と違ってFlagもなく報告書が全ての試験なので、採点が早くて驚きました。
感想
OSCP相当の攻撃知識を持ったうえで、攻撃がどのような痕跡になるのか学習するには良い教材だと思います。OSDAでも攻撃概要について触れられてはいますが、OSCPである程度の知識を付けてからOSDAに進むと理解しやすいと思います。
一方で、大規模環境やログの消去・改ざんへの対応など実務レベルかというと不安な部分もあるのでそこはSOC-300の登場を待ちたいと思いました。