- 2024年10月22日
- 受験記
Offsec Threat Hunter(OSTH)受験記 | 脅威ハンティング
はじめに
株式会社レオンテクノロジー 調査・監視部の宮﨑です。
普段の業務ではSOCアナリストとしてログの監視や調査、SIEMの構築やルール作成などを行なっています。
今回はOffsec社から2024年10月に試験が公開されたOSTHを早速受験し、無事合格できたため受験記としてまとめます。
OSTHとは
OSTHとはOffsec社が2024年9月に新たにリリースした脅威ハンティングのコンテンツ(TH-200)の試験に、合格することでもらえる証明書です。
https://www.offsec.com/courses/th-200/
TH-200はOffsec社の100~400の難易度では基礎レベルの200にあたるため、これから脅威ハンティングを学びたい方、自分の脅威ハンティングのスキルを確かめたい方向けかと思います。
(例:他の200の資格 OSCP | OSWA | OSWP | OSDA)
TH-200で学べること
TH-200ではザックリと以下を学ぶごとができます。
■ 脅威ハンティングの基礎・実践
脅威ハンティングの基本的な目的、概念、および実践を解説し、企業がどのように脅威ハンティングを実装するか、脅威ハンティングの段階や種類を学べます。
■ 脅威アクターの概要
ランサムウェアアクターやAPTに焦点を当てて、さまざまな脅威アクターの概要を学べます。
■ 脅威ハンターのためのレポート作成
脅威ハンターが脅威インテリジェンスを受け取り、どのように使用するか、レポートを作成する方法を学べます。
■ ネットワークデータを用いた脅威ハンティング
ネットワークのIoCを用いた脅威ハンティングが紹介されます。SuricataなどのIDS(Intrusion Detection Systems)やIPS(Intrusion Prevention Systems)を使用して、ネットワーク上の不審な活動を監視する方法や、ネットワークにおける侵害の兆候を識別する実践的方法について学べます。
■ エンドポイントでの脅威ハンティング
エンドポイントIoCを利用したサイバー脅威ハンティングの基本を学べます。インテリジェンスベースと仮説ベースのハンティングが紹介され、ハンティングの効果を高めるための考慮事項も取り上げてくれます。
■ IoCを使わない脅威ハンティング
既知のIoCに依存しない脅威ハンティング手法を学べます。行動分析やデータの相関分析を活用して高度な脅威を検出するカスタムハンティングに焦点を当て、CrowdStrike Falconなどのツールを用いたハンティングシナリオです。
TH-200の購入プラン
TH-200を学ぶための購入プランは3種類存在します。
最も安い90日間のラボコースで1,649ドル(約25万円)です。この価格設定はOSCPと同じです。
自分自身の経験や感想からお伝えすると、Learn Unlimited(1年間すべてのコンテンツにアクセス可)を購入して、その一環で学ぶことが良いと強く感じました。その理由として、コース内容とチャレンジラボの少なさがあげられます。
コンテンツ自体は面白いものの、教材自体は2-3日もあれば読み終わります。また、チャレンジラボも現段階では1つのみなので、5-6時間程度で終わりました。
OSCPの教材やチャレンジラボを経験された方なら、いかにこのコンテンツの量が少ないかがわかると思います。
こういった背景から、金額を気にするのであればTH-200を単体で購入するよりUnlimitedの中で学習する方が良いと考えています。
試験前の学習
受験日の1ヶ月前 9月16日から学習を開始しました。
脅威ハンティングのスキルや知識はまったく0ベースではなかったため、改めて理解を深めることを目標に取り組みました。
いつ試験がオープンになるか当時不明だったため、ゆっくり学習を進めていきました。
その後、10月8日に模擬試験であるチャレンジラボに挑戦し、開始4時間で合格点には到達したため、本番も合格できるだろうと考えました。
試験までの準備
OSTHに挑戦するため試験可能な最速日を確認したところ10月15日の午後から受験可能でした。そのため、業務後の10月15日の20:00にスケジュールしました。
当日は通常業務の後に試験を深夜まで行うことになりました。そのため、休日に以下の準備を行いました。
- Splunkのクエリの準備
- スプレッドシートの準備
- レポートテンプレートの読み込み
■ Splunkのクエリの準備
教材を通してよく使用したクエリのメモや、Statsを用いた統計情報の出し方など数パターン用意しました。
■ スプレッドシートの準備
エクセルやLibre Officeなど何でも大丈夫ですが、自分はGoogleスプレッドシートを利用しました。
調査時に見つけた不審なイベントを時系列順に並べておく必要があるため、こちらで管理しました。
■ レポートテンプレートの読み込み
以下のOSTHガイドから、レポートのテンプレートを取得できます。
https://help.offsec.com/hc/en-us/articles/29141776768148-OSTH-Exam-Guide-Newly-Updated
こちらの詳細は「レポート作成」にて記載しています。
試験当日
試験はVPNで環境に接続できますが、OSCPなどと異なり普段Labなどで使用しているVPNを利用します。
また、Kaliも自前で用意する必要もなくWeb版のKaliを利用できます。(自前のKaliも利用できますが、試験中はどちらか片方のみ利用可能です)
試験は8時間で7問中5問正解することで合格できます。
問題はOffsec側が指定した特定のイベントを探しだす必要があり、さらに、そのイベントからタイムスタンプ・ハッシュ値・IPアドレスなどを取得し、事前に提供された文字列からハッシュ値を生成する実行ファイルに引数として渡すことで、答えのフラグが生成されます。なお、フラグは各問題ごとに10種類用意されており、その中に一致すれば恐らく正解です。
また架空のAPTグループのレポートが事前に共有されるため、そのレポートを参考に調査を進める必要があります。ただし、もちろんレポートに記載されている情報が全て出るということは現実でもあり得ないため、IoCがない状態での調査スキルが求められます。
当日のタイムラインは以下です。
- 20:00:試験開始
- 21:34:1つめのフラグ
- 21:40:2つめのフラグ
- 22:16:3つめのフラグ
- 22:45:4つめのフラグ
- 00:05:5つめのフラグ(合格ライン到達)
- 01:29:6つめのフラグ
- 02:15:試験切り上げ(明日も仕事のため)
一応、試験時間は20:00 ~ 04:00まででしたが翌日も仕事があるため業務に支障が出ない範囲で頑張りました。
最初の1時間30分は攻撃の全体イメージを掴むための調査に時間を当てました。
そこから、各問題に取り組んでいきつつ、必要な以下の証跡を取得していきました。
- 攻撃者が使用したツールや関連するハッシュ値
- 攻撃者のC2サーバーのIPアドレスとポート
- 攻撃者の攻撃テクニック
- 侵害されたユーザーやホスト
- 各問題を解くために使用したSplunkクエリ
- 答えとなるフラグを生成した際のスクリーンショット
- 最終的に攻撃者がどのような影響を与えたか
など
レポート作成
レポートは24時間です。
自分の場合、Offsec公式が出しているレポートテンプレートを参考にし、必要な情報を書き込んでいきました。
以下はレポートに記載のある項目と、サンプルレポートの例文です。大体どのような情報を収集してレポーティングすべきかイメージが掴めると思います。
- Overview:概要
- High-Level Attack Path:攻撃経路
- Recommendations:特定した侵害への対策案
- Methodology:攻撃者の手法
- Hunt Narrative:ハンティングの説明(ここに出題された7問の導き方を記載しました)
- Findings:テーブルに時系列順にまとめたもの(Timestamp・Observation・Affected Assets)
- Conclusion:決論
- Appendix:IOCを記載(ファイル名・ハッシュ値・C2サーバーのIP、ポート、インプラント名、またどのようにそのC2サーバーが使用されたかなど)
合格通知
レポート提出から5日後に合格通知のメールが届き、無事に1発合格できました。
恐らく最速で合格できたと思うので、合格 + 最速合格2つの目標を達成することができ一安心です。
最後に
Offsec社のTH-200を通して、脅威ハンティングを学び、試験で実力を試すことができて非常に勉強になりました。
普段、業務ではなかなか携わることがない脅威ハンティングですが、改めてその分野の面白さを知ることができ、試験内容は満足でした。
当社では業務に活用できる資格であれば資格補助がでます。
そのため、個人負担が厳しい額でも気にせず挑戦できる環境が整っています。
長くなりましたが、この受験記が今後受験される方の助けになれば幸いです。
最後まで読んでいただき、ありがとうございました!
