OffSec Defense Analyst (OSDA)受験記

KOBAYASHI_Yasuyuki

更新日：2023.11.21

2023年05月12日 02:35 PM （JST）

はじめに

はじめまして！SOCイノベーション事業部の小林です。 2023年4月にOffSec社が新しく始めた認定資格であるOffSec Defense Analyst (OSDA)を取得することができました。

国内でも同コース受講者やどういった内容か興味を持たれている方がいらっしゃるようなので、本記事では同資格に関する情報を共有出来たらと思います。

宣伝

弊社に入社すると条件があえばOffSec社の各コースを無償で受講することができます。

OSDAとは

OSDAは、OffSec社 (2023年3月にOffensive Securityから社名が変わりました)が2021年11月にコース公開、2022年10月から認定試験を公開したDefensive側の認定資格です。 OffSec社はこれまでOSCPなどOffensive側の認定資格を実施していますが、OSDAでDefensive側もラインナップに追加された形です。

ラーニングパスとしては下記の流れです。但し、購入するプロダクトによって変わってきます。OSCPなどと同じく英語で提供されており、実際に手を動かして理解していき最後に実技試験を受ける形です。

SOC-100
- トレーニングコースでFoundational contentの1つです。
- SOC-200を受講する上で必要なOSやネットワークに関するトレーニングとエクササイズがあります。
SOC-200
- OSDAを受講する上でのトレーニングとエクササイズがあります。
- シラバス
Labs
- トレーニングコースを踏まえた上でのエクササイズラボがあります。
- 現時点では12個のラボ環境があり、それぞれに3~6つの問題があります。
Exam
- 認定試験です。23時間45分の実技試験と24時間のレポート作成があります。

OSDAの試験を受けるためには、SOC-200というトレーニングコースを受講していきます。内容としては、サイバー攻撃でよく利用される攻撃手法の理解とその攻撃痕跡がどのログにどういう風に記録されるかを学びます。そして、各単元ごとにエクササイズとしてラボ環境上でその攻撃を実行して痕跡を調査していきます。具体的な内容は後述します。

学べる/学べない内容

日本セキュリティオペレーション事業者協議会（ISOG-J)が公開しているセキュリティ対応組織の教科書第3.0版にある、サービスカテゴリーとサービスリストをベースに学べる内容をお伝えしたいと思います。
(なお、本ドキュメントを引用したのは上司の影響ではありません😉)

B-1. リアルタイム監視
- 対象ログはOSやソフトウェアが生成するイベントログです。
- LabsやExamではosqueryを使用したOS情報監視もあります。
B-2. イベントデータ保管
- LabsやExamでは上記ログがElastic Stackで管理されています。
B-3. 通知・警告
- Examのレポートでは、Kibanaのクエリや攻撃手法や被害内容を纏めて報告する必要があります。

逆にそれ以外のサービスリストは部分的または完全に含まれていません。特に下記内容は含まれていないので、セキュリティエンジニアの方でこれらを学びたいを思っている方は注意が必要です。

「C. 深掘分析」にあたる部分
- マルウェア解析、PCAP解析、脆弱性解析、デジタルフォレンジックといった内容は含まれていません。
- あくまで、イベントログを分析します。
クラウド環境の監視
- AWS CloudTrailを監視するといった内容は含まれていません。
コンフィグ・ポリシーのチューニング
- ログを出力するOSやソフトウェアのチューニングをする内容は含まれていません。

OSDAを取得するまで

ここでは、より具体的な内容を記載したいと思います。

コース受講開始

2022年7月に会社からLearn Oneのバウチャーを発行して貰いコース受講を始めました。

なおOffSec社のコース全般で、コース有効とExam受験のタイミングで英語で(氏名、写真、生年月日、発行国、発行日、失効日)が記載された物理的な政府発行のIDが必要です。日本人の場合パスポートになると思いますので準備をお忘れなく。
(ここ数年の世の中の流れで、パスポートを更新せずに失効させた方が受講しようとして有効なパスポートが無いと慌てたケースを観測しております。)

コース受講は全てオンラインで実技はOffSec社が準備したラボ環境にアクセスする必要があるため、Kali LinuxのVMイメージと制限のないネットワーク接続環境を準備ください。詳細はOffSec社のドキュメント: SOC-200 Learning Library Lab Connectivity Guide をご確認ください。

また、コミュニティサポートなどはDiscordサーバーで提供されています。

SOC-100

私は内容を忘れているかもしれないのと後のコースで受講前提になっているかもしれないと思い受講しました（結局必須ではありませんでしたが）。内容としては、WindowsやLinuxの使い方やネットワーク周りの基礎的なものです。この後のSOC-200ではOS標準コマンドでログ分析をする必要があります。そういった内容について知らない方は、SOC-100から受講されるされることをお勧めします。各単元ごとに説明内容があり最後にエクササイズとしてラボ環境にアクセスして問題を解いて答えやFlagを回答する形です。

SOC-200

OSDAを受講する上でのメインのトレーニングとエクササイズです。内容としてはOffSec社がシラバスを公開しているのでご確認ください。

内容としては、サイバー攻撃でよく利用される攻撃手法の理解とその攻撃痕跡がどのログにどういう風に記録されるかを学んで最後にエクササイズとしてラボ環境で実際に攻撃手法を実行してみてイベントログを分析して答えを回答する形です。
最後のほうにはSIEMによるログ分析に関する内容を学びます。具体的には、ログがElastic Stackで管理され、Kibanaでのログ分析、osqueryを使用したOS情報監視、Elastic Securityのアラートルール作成です。このあたりの内容はOffSec社のTweetも見てみてください。

Labs

トレーニングコースを踏まえた上でのエクササイズラボになり、現時点では12個のラボ環境があり、それぞれに3~6つの問題があります。

ラボは、いわゆる攻撃エミュレーションが動作して、環境内にあるホストログがElastic Stackに集約され、それを分析して問題を解いていってレポートを記載していく流れとなります。

OSCPなどと違うところはフラグを見つけるではなく、攻撃痕跡を見つけるKibanaクエリを作成して発見したログを示すことで、どういった攻撃手法が実行されてそれによってどういった被害が発生したかをレポートとして記載して行く形です。

もし問題が解けない場合は、DiscordサーバーにはLabチャンネルがありそこにいるbotが各問題のSpoiler (ネタばれ)をしてくれます。また、分析方法自体やレポート記載方法がわからない場合は、OSA (OffSec Academy)という形で解き方のビデオが公開されています。

問題を解くうえでやっておいた方が良いことして、攻撃エミュレーションをスタートさせるタイミングの日時は記録することです。Kibanaでの検索範囲を絞ることも出来ますし、用意したElastic Securityのアラートルールが範囲外のログにヒットして混乱する場合があり得ますが、日時を記録しておいたら「このアラートは範囲外だから無視」といったことが可能となります。

個人的にこのコースで詰まったポイントは、あるラボ環境で何故か攻撃エミュレーションが完了せず結果としてOffSec社が想定しているログが出力されない問題がありました。OffSec社にはトラブルシューティングを依頼しなかったのですが、どうも環境は2つ用意されていてそのうちの1つで問題が発生する。割り当ては時間ごとに変わるので、別の時間にやれば問題なく動作する環境が割り当てられました。

Exam

実際の試験です。OSCPなどと同じく最初の24時間 (正確には23時間45分)で用意された10フェーズの問題を解いて、次の24時間でその内容をレポートに纏めて提出する形です。
環境はLabsと同じく、各フェーズでいわゆる攻撃エミュレーションが動作して、環境内にあるホストログがElastic Stackに集約され、それを分析して問題を解いていってレポートを記載していく流れとなります。合格には75点以上のスコアが必要です。
詳細はOffSec社のドキュメント: OSDA Exam Guideに記載があります。SOC-200やLabsで作成したElastic Securityのアラートルールを事前にインポートしておくことも可能です。

こちらでも、OSCPなどと違うところはフラグを見つけるではなく、攻撃痕跡を見つけるKibanaクエリを作成して発見したログを示すことで、どういった攻撃手法が実行されてそれによってどういった被害が発生したかをレポートとして記載して行く形です。レポート記載のために、下記内容の証跡を記録していきました。

ヒットしたアラートルールのスクリーンショット
Kibanaの検索クエリ文字列と検索によって得られたログ
- 必要なフィールドだけ表示してスクリーンショットやCSVで保存
osqueryの検索ログと検索によって得られた情報

また、問題を解くうえでやっておいた方が良いこととして、攻撃エミュレーションをスタートさせるタイミングの日時は記録することをお忘れなく。私は最初の問題で用意していたアラートルールがOffSec社が環境を構築した際に発生したログにヒットしてしまい、間違った分析を1時間以上やってしまいました。

私は環境面ではトラブルなくテストを受けることができ、最初の24時間で問題を解きつつ証跡を記録していき日本語で攻撃手法に関する結論や侵害内容についての文章を記載していきました。問題環境は最初の24時間しかアクセスできず、レポート記載のタイミングではアクセスできません。そのため、問題を解きつつレポート記載を意識する必要があるので証跡はできるだけ残しておきましょう。そして次の24時間でその日本語を英語に翻訳して、証跡と合わせて体裁を整えて提出しました。

私の場合、日曜日の15時ごろ (日本時間)に提出して、6日後の土曜日の16時ごろ (日本時間)に合格メールが届きました。
(ちなみに、結果が来ないな～と思いながらツーリング中だったので、土曜日に結果が来てびっくりしてしまいました。)

感想＆受講をお勧めする方

受講してみた感想としては、月並みですが、やはり実際に⼿を動かして動作を理解することが大切で、Defensive側としても攻撃手法に対する解像度を上げていかなければならないということを改めて認識しました。特に、以下のような方に受講をお勧めできると感じました。

新たにセキュリティ運用担当になった方
- サイバー攻撃でよく利用される攻撃手法とその攻撃痕跡について手を動かしながら学ぶことができます。
- EDRやUTMといったセキュリティ製品のセキュリティアラート運用担当になった際に、理解の解像度が上がります。
SOCでより高度な監視分析に携わりたい方
- 業務としてセキュリティアラートやSIEMの検知ルールをテンプレートで通知されている場合、そのテンプレート文言の意味理解やテンプレート文言を書く側に必要な知識を習得することができます。
EDR分析の知識を得たい方
- 攻撃手法を行った際にエンドポイントにセットアップされたSysmonやPowerShellのログを分析することがあります。
- EDRが収集したセキュリティアラートや動作ログを分析するための知識を得ることができます。
Defensive側の知識を入手したいOffensive側の方
- 脆弱性診断士やペネトレーションテスターといったOffensive側の人がDefensive側の知識や考え方を知ることができます。
- ~~それを元にDefense Evasionの想像力を高めることも可能かと思います。~~