セキュリティ

10月 10日, 2024

3 分程度

Splunk主催のCTFイベント “Boss of The SOC v8” 開催レポート

大前研斗

What's Boss of the SOC?

Boss of the SOC (通称BOTS) とは、その名の通りSOCのボスは誰か？を競うSplunk主催のCTFイベントです。BOTSでは、Blue Team(防御側)を想定したシナリオに沿って、Splunkを使ってセキュリティインシデントの調査を行います。Splunk Core、Enterprise Security、SOAR等のSplunk製品をフル活用して、参加チームには4時間に渡ってクイズ形式の問題に挑戦してもらいます。

もし、BOTSについて詳しく知りたい方は過去記事の「Boss of the SOC v4を使って社内CTFをやってみた」をご参考ください。BOTSの学習用公開コンテンツも掲載しています。

2024/7/11開催 Japan BOTSv8 開催サマリ

今回は計174名(47チーム)の参加者が募り、過去最高の参加者数を記録しました。

タイムテーブル

開催概要説明（13:00-14:00）
競技開始（14:00-18:00）※4時間
結果発表&解説（18:00-18:30）
懇親会&表彰（18:30-20:00）

参加者数の集計結果

参加回数の回答結果

毎年変わるBOTSのシナリオ、今年(BOTSv8)の特徴は？

Splunkのイベントである.confにて、BOTSは毎年新しいバージョンがリリースされ、その時々の旬なテクノロジーや脅威に合わせてシナリオが変化しています。

問題のシナリオ

BOTSv8では、過去のシナリオを踏襲しつつ、新たなシナリオも追加されました。問題に使われているセキュリティインシデントのシナリオは、5種類用意されており、それぞれのシーンでSplunkがどのようにしてお役に立てるのか。イメージをつけていただきやすいコンテンツになっています。またBOTSイベントを初めて参加いただくお客様でも学びがあるように難易度別のシナリオが用意されています。

Enterprise Security（難易度：★）
Web app attack（難易度：★★★）
Advanced Persistent Threat （難易度：★★★★）
Splunk SOAR（難易度：★★）
Easter Eggs（難易度：★★★★★）

さらに今回は“4.Splunk SOAR”のシナリオ内で、Splunkの新製品であるAttack Analyzerを使って問題を解く場面もありました。Attack Analyzerはマルウェア脅威やクレデンシャルフィッシングが疑われる不審な挙動を自動的に分析・評価する製品であり、Splunk SOARと連携することでリアルタイムな脅威を素早く分析することができます。
※Attack Analyzerの製品情報はこちら

当日の様子

前回に引き続き、LINEヤフー株式会社様のセミナー会場をお貸しいただき、参加者全員が一堂に会する中、オープニングセッションが行われました。

競技開始後はそれぞれのチームのペースで4時間かけて、問題に向き合っていただきました。

Topが何度も入れ替わる苛烈な争いをしていましたが、最終的には僅差でPashiriチームが勝利しました。1問の正誤で順位が変わるほどの点差で、最後まで分からない展開でした。

上位入賞したチームの皆様、おめでとうございます！

上位10チーム

4時間ぶっ通しで競技に集中頂いた後には、表彰式を兼ねた懇親会を開催させていただきました。競技を終えた感想や普段の業務におけるSplunkのユースケース等を伺うことができたことは、オンサイトイベントならではの貴重な機会でした。

皆様大変疲れているにも関わらず、爽やかな笑顔と共に記念撮影にご協力いただきありがとうございます。

集合写真

当日参加した皆様から沢山のフィードバックを頂きました。その中から一部を抜粋してご紹介します。

「初めての参加だったため、手も足も出ないかと思ったが、思いのほか回答できた。また挑戦してみたい。」

「業務では構築側の視点が多いため、実際に活用する側の視点を得られるのは貴重でした。また、AttackAnalyzerについてどういった製品かは聞いていたものの、SOARとの関連という絡みのみでも実際に表示される情報などを知れて勉強になりました。」

「Splunkで提供されている各種機能を想定インシデントに対して実際に利用することができました。」

「ゲーム感覚でSplunkに触れたので楽しかったです！」

次回BOTSは12月11日(水)に大阪開催！

アンケートでもご要望があった関西でのBOTS開催を今年はやります！

東京開催のためこれまでご参加いただけなかった方は、是非ご参加ください。只今、開催の準備を進めておりますので、詳細はSplunkからのメールやイベントページにて改めて告知いたします。

最後に、ご参加いただいた皆様、会場をお貸しいただいたLINEヤフー株式会社様に感謝申し上げます。次回のBOTSでもお会いしましょう。

大前研斗

2021年Splunk Services Japan合同会社入社。セールスエンジニアとして主にセキュリティソリューションにおけるSplunk提案に従事した後、現在はパートナーテクニカルマネージャーとして、Splunkを取り扱うパートナーの技術支援、販売サポートを行っている。
Splunk入社以前はコンサルティング会社にて、SOC/CSIRT組織強化やTLPT等のセキュリティに関するアドバイザリー業務を経験。

セキュリティ 3 分程度

Splunkがガートナー®社のSIEM部門マジッククアドラント™でリーダーに認定

Splunkはガートナー®社による2024年マジッククアドラント™のSIEM (セキュリティ情報/イベント管理)部門で「リーダー」に認定されました。このクアドラントでSplunkがリーダーに認定されるのは10年連続です。

セキュリティ 16 分程度

脅威の連鎖を断ち切ろう：証明書サービスの悪用を防ぐ

世界中で確認されている、証明書を悪用する最新の攻撃の概要、証明書を入手するために使われるいくつかの手口、関連ログの収集方法、証明書を窃取する攻撃の緩和方法について説明します。

セキュリティ 14 分程度

LLMのセキュリティ：LLMアプリケーションのOWASPトップ10とSplunk製品

LLMに対する脅威が現実のものとなっています。そこで、LLMに対する主な脅威と、Splunkを使ってLLMベースのアプリケーションとユーザーを効果的に保護する方法をご紹介します。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら