こんにちは、GMOインターネットグループの國分です。2022年10月7日に開催された、通称Bots(Splunk Boss of the SOC)に参加してきました。Botsがどんなイベントなのか、含め魅力が伝えられたらと思います。
はじめに
BotsはSplunk社が主催するイベントです。SplunkはSIEM製品の一つです。SIEMとはSecurity Information and Event Managementの略で、簡単に説明すると様々なログを一元的に管理して、検索出来たり、アラートが設定出来たりするシステムとなります。
Splunk(スプランク)とは
サーバー管理者だったり、アプリ開発者だったりすると、ログを見る機会が多いと思います。その際利用するコマンドはLinuxだったら、grepやcat、windowsだったらfindstrを "|"(パイプ)で繋いで諸々ログを確認しているのではないでしょうか。
ログでIPの統計が取りたい!そんな時SIEMがない場合は、
cat access.log | awk -F ' ' '{print $1}' | sort | uniq -c
こんなコマンドを打って、統計を取りますが、1つのサーバーの場合は苦ではないのですが、これがロードバランサー配下にWebサーバーが100台あるとなるとどうでしょうか。出来なくはないが、100台のサーバーにログインして、grepだったりcatコマンドを打つことになります。※ログサーバーを準備して一つにログをまとればいいじゃんは、除外!
Splunkがある場合は、
| datamodel Web Web search
| stats count by Web.src
こんなコマンドで、Splunkで取り込んでいるWebサーバー全部のIP統計が取れます。この構文で、Apache,nginx,IIS等WebのAccessログなら全て検索してくれます。さらに取り込んでいるのがWebログ以外のログもあれば、そのログに対して検索したい文字列で、調査出来ることができます。grepやcatだけでログの調査をしている人にとっては夢のような機能ですよね。
Botsの概要
Splunkで様々なログの検索ができるのを説明しましたが、BotsはSplunkを利用して、回答を導き出すCTF形式で点数を争う競技イベントです。
参加はチーム戦となっており、GMOからはSplunkを普段から利用しているSOCメンバー3名と、サイバーセキュリティを専門とするグループ会社から1名の合計4名チームで参加しました。今回の参加チームは全体で35チームで、チーム人員は最大4名のチームで構成され競い合うことになりました。
各問題はシナリオごとに分別され、シナリオは5つあり、2つのシナリオはSplunkのセキュリティ製品の使い方の問題。3つのシナリオがインシデントに沿った問題となっていました。今回自分ともう一人のメンバーが特定のSplunk有償機能の知見があるので、Splunk有償機能のシナリオ1を担当して、残りの2名のメンバーがインシデント関係のシナリオを解くという作戦で開始しました。
Bots開始
コミュニケーションは完全リモートでの開催だったので、Zoomに集合し、各チームごとにブレイクアウトルームが開設され、そこで会話しながら解いていく形でした。途中経過の点数はスコアボードで確認出来るので、自分のチームがどのくらいに居るのかも確認出来ます。
上位チームのスコア上昇に刺激され各自問題を解いていきます。シナリオ1に関しては知見があったので、ほぼボーナス問題状態で、サクサク回答出来たのですが、シナリオ2の問題は触ったことがない製品の問題だったので、一気に時間が浪費されていき、あと、1時間、いや2時間欲しいというところで終了でした。
9位でした!
まとめ
Botsに参加したことで、普段使ったことがない機能の使い方だったり、対象の絞り込みのあたりの付け方もシナリオから学べるので、Splunkをより使いこなしたい方や、セキュリティ製品の導入を検討している人にもおすすめ出来るイベントでした。
また、普段繋がりのないグループ会社の人と一緒のチームで参加することにより、コミュニケーションが促進され、得意分野の共有や、いろいろな意見交換が出来たのは参加してよかった点です。
今後の改善点はお昼をまたいだタイムスケジュールなので、手元で食べれるおにぎりとかパンを用意しておく。シナリオの人員配分を決めておく。この2点を次回参加者へ共有したいと思います。
上位入賞者には商品もありますので、次回開催時には皆様もぜひ参加してみてください。
