- 2023年12月5日
- 受験記
【脅威ハンティング】eCTHPv2(Threat Hunting Professional)受験記
みなさんこんにちは。
株式会社レオンテクノロジーの調査・監視部に所属する宮﨑です。
今回は脅威ハンティングの資格「eCTHPv2(eLearnSecurity Certification Threat Hunting Professional)」を10月末に挑戦し、無事に一発合格できました。
INEから届いた合格通知
「eCTHPv2」は以前、投稿したデジタルフォレンジックの資格「eCDFP」と同様に、国内での受験記が無いため勉強方法や試験に関する情報を共有します。
eCTHPv2とはどのような資格?
eCTHPv2は、脅威ハンティングに特化した資格です。
この資格ではSIEM(SplunkおよびELK)とVolatilityを使用して、組織内の脅威を検出しそれに対するレポート作成能力が評価されます。
試験では、実技を通じて複数の証拠を見つけることが求められますが、ただ証拠を見つけるだけでは不十分です。採点方式はレポートの質であるため、レポートのまとめ方が重要となります。
レポートは、ステップ・バイ・ステップで整理されている必要があり、使用されたテクニックについても詳細に記述することが求められます。そのため、論理的かつ詳細なレポート作成能力が不可欠です。
eCTHPv2のコースで学べる内容は以下のとおりです。
勉強方法
eCTHPv2試験は、主にSplunk、ELK、Volatilityの3つのセクションに分かれています。
まず、SplunkとELKのSIEMツールを使用した調査方法を習得することが重要です。これには、特にクエリの作成方法などが含まれます。
また、Volatilityを使用したメモリフォレンジックスキルも必要です。
私の学習方法としては、まずINEが提供するコンテンツをベースにして学習を進めました。さらに、TryHackMeを利用した学習も組み合わせました。
以下に、Splunk、ELK、Volatilityごとにお勧めの学習コンテンツを紹介します。
Splunk
■Splunk Bots
Splunk Botsは、「Boss of the SOC」という競技イベントの略称です。
これは、Splunkを使用して架空の企業のセキュリティインシデントをログから調査する、キャプチャ・ザ・フラッグ(CTF)形式のイベントです。
最新バージョンは(おそらく)現在v8のようですが、TryHackMeやINEを通じて、過去のバージョンを用いた学習が可能です。
また、Splunkからはbotsv1からv3までのデータセットが公開されているため、Splunkに取り込むことで自分の環境で学習を進めることができます。
botsv1
■INEコンテンツ
INEでは、Splunk Botsを利用した複数の実践的なラボが提供されています。これらのラボを通じて、Splunkの基本的な知識とスキルを習得しました。
INEで学べるSplunkのLAB 1
また、eCIRの学習コンテンツにも、数は少ないながらSplunkを使用したラボが含まれています。
INEで学べるSplunkのLAB 2
■TryHackMe
LearnからSplunkと検索するといくつかの学習roomが表示されます。
この中から基礎が学べそうなものをいくつか選んで学習しました。
TryHackMeで学べるSplunkのRoom 1
TryHackMeで学べるSplunkのRoom 2
ELK
こちらは業務で扱っていることや、OSDAを受験した際に基礎は学んでいたため、あまり集中的に学習は行いませんでした(その分の時間をSplunkに全振りしました)
ただし、学習方法についてはSplunk同様にINEのコンテンツとTryHackMeを活用すれば十分だと思います。
■INEコンテンツ
INEで学べるELKのLAB 1
INEで学べるELKのビデオ
■TryHackMe
TryHackMeで学べるELKのRoom
Volatility
Volatilityは、メモリフォレンジックに使用される調査ツールです。
このツールは、OSの識別、プロセス一覧の表示、疑わしいプロセスのダンプ、Malfindなどのプラグインを使用した調査といった機能を提供しています。
Volatilityの基本的な使用方法を習得することはもちろん重要ですが、さらに利用可能なプラグインについて事前に理解しておくことで、調査の幅が広がります。
以下にマルウェア調査で利用できるVolatilityのプラグインをまとまったGithubのリンクを記載します。
マルウェア調査で利用できるVolatilityのプラグイン
■INEコンテンツ
INEで学べるVolatilityのLAB
■TryHackMe
TryHackMeで学べるVolatilityのRoom
試験までに準備したこと
以下の項目の準備をオススメします。
- チートシートの作成
- ホワイトボードの活用
- SIEMとVolatilityの理解
- Sysmonの理解
- レッドチームの知識
チートシートの作成
私の一番の懸念はSplunkの経験不足でした。
以前、インシデントレスポンスに関するeCIR試験に挑戦した際に不合格となり、その主な原因はSplunkの経験不足でした。
その経験を踏まえ、Splunk Botsを使った練習と、クエリのチートシート作成に注力しました。
ホワイトボードの活用
試験中に見つけた情報の整理のためにホワイトボードを購入しました。
これを使って、「どのホストからどのホストに対して攻撃が行われたか」などの情報を図として書き起こしました。大きさについては100円均一で購入可能なサイズでも十分でした。
SIEMとVolatilityの理解
言わずもがなですが、試験に合格するために不可欠です。
Sysmonの理解
試験中、SysmonのイベントIDが記載されたシートを何度も参照しました。
これにより、調査目的に合ったクエリの作成が容易になりました。たとえば、「プロセス作成」を調査したい場合はイベントID: 1に注目するなどです。
レッドチームの知識
「どのようにして攻撃者はホストに侵入してくるのか」「どのようなツールを一般的には用いるのか」といったレッドチーム側の知識が必要不可欠です。
理想はOSCPやeCPPTv2などの知識があれば十分だと感じました。私は今でこそeCPPTv2を保有していますが、eCTHPv2受験当時はeJPTv2のみだったため、極論eJPTv2レベルの知識があればレッドチームの知識としてはギリギリ足りると感じました。
試験について
試験概要については以下のとおりです。
- 試験時間:4日間
- 実技:2日間
- レポート:2日間
- 問題の種類:3種類
- Splunkを使用したログ調査
- ELKを使用したログ調査
- Volatilityを使用したメモリフォレンジック
- 合格ライン:75点以上(他eLearnの試験より高め)
- 合否結果 :1ヶ月
- 試験費用:$400
レポート提出後、丸一ヶ月後にメールで合格通知が届き無事に合格証を手に入れることができました。
合格証
合格する確率を上げるため
以下の項目を意識するとよいと感じました。
- 証拠となるスクリーンショット
- 詳細で論理的なレポートの作成
- 公開情報を利用した調査
証拠となるスクリーンショット
他の試験同様、eCTHPv2試験では証拠となるスクリーンショットが非常に重要です。
私は試験中に合計で約210枚のスクリーンショットを撮影しました(実際にレポートに埋め込んだスクリーンショットはもっと少ないです)
詳細で論理的なレポートの作成
レポートでは、「攻撃の順番や使用された手法」を順序立てて記述し、特定の攻撃手法に関する見解を述べる必要があります。
公開情報を利用した調査
不審な実行ファイルやコードを発見した際には、そのファイルが何であるか、どのマルウェアファミリーに属しているかなど、公開情報を用いて調査しました。
不審な点に気づく能力と公開情報を利用した調査能力がこの試験では特に求められます。
試験を終えて
この試験を通して、脅威ハンティングのスキルが上がったことを実感しています。
また、クエリを用いて調査するスキルも向上しました。本試験ではクエリを書くスキルが必須であるため、今まで少し苦手としていたクエリでの調査も苦ではなくなり、実務でもより自分が欲しい情報を取得できるようになりました。
最後に
まず、弊社に対して今回も私のスキル向上のために受験代を全額負担してくださったこと、本当にありがとうございました。
当社の制度として、業務に役立つ資格の取得をサポートする資格補助があります。
私のようにコースや試験に挑戦したい方も、経済的な負担を気にすることなく、自分のスキルアップに励むことができます。
この受験記が、将来のeCHTPv2やその他eLearnSecurityの試験に挑戦される方々の一助となることを心より願っています。
長くなりましたが、最後まで読んでいただきありがとうございました!