「Blue Team Labs Online」入門 - みんなで挑むログ解析バトル

Transcript

1. 林 憲明 プリンシパルセキュリティアナリスト @v_avenger 1/'&45
   
   4QSJOH
    #MVF
   5FBN
   -BCT
   0OMJOF
   ೖ໳ r ΈΜͳͰ௅Ή

2. Blue Team Labs Online入門 – みんなで挑むログ解析バトル ©2026 Noriaki Hayashi 自己紹介

   林 憲明 情報処理安全確保⽀援⼠ 第008235号 ⾼知⼯業⾼等専⾨学校 実務家教員 若年層はϨουνʔϜに強い憧れ ϒϧʔνʔϜにはあまり関⼼を持たない 障壁を取り除き「優秀な実務家を安定的 に輩出すること」が私のライフワーク 現場で必要なのは状況に応じて 役割を変化できるヒーロー σΟϑΣϯμʔͷඞཁੑ 実際に手を動かし、痕跡をたどる経験の 獲得は困難であり、後押しが求められる

3. Blue Team Labs Online入門 – みんなで挑むログ解析バトル あなたの技術を「価値」に変える倫理観 • 社会を守る力として使う 技術は困っている⼈を助け、安全を守るためにある

   • 影響力を自覚する 技術の進歩と社会的責任を常に考え、法の範囲内で能⼒を発揮する • 「正義」は免罪符ではない たとえ善意でも、許可無きハッキングは処罰対象となり、社会的信⽤を失う • 建設的な貢献 他者と対話し、知識を共有することで、より良い未来を作る第⼀歩になる ©2026 Noriaki Hayashi

4. Blue Team Labs Online入門 – みんなで挑むログ解析バトル 本日の進行に関する注意 • BTLO「Foxy」「MiddleMayhem」はActiveな課題です 攻略⽅法の直接的な外部公開はNGです。インターネットへの投稿はご配慮を。

   • 感想はX、Qiita/Zenn、note、ブログなどへ投稿 （ハッシュタグ：#P3NFEST） 写真や画⾯キャプチャなどの投稿も⼤歓迎！参加者の写りこみには配慮をお願 いいたします。林憲明はフリー素材 ©2026 Noriaki Hayashi

5. Blue Team Labs Online入門 – みんなで挑むログ解析バトル Blue Team Labs Online入門

   – みんなで挑むログ解析バトル ࠓ೔͸ ԿΛ͢Δ ©2026 Noriaki Hayashi

6. Blue Team Labs Online入門 – みんなで挑むログ解析バトル タイムスケジュール（目安） 12:30 – 12:45（15分間）：冒頭説明

   12:45 – 14:20（95分間）：モクモク会 14:20 – 14:30（10分間）：まとめ・Q&A 14:30 – 15:00（30分間）：休憩&ブース訪問 15:00 -：講演パート ※モクモク会中、休憩・水分補給を行ってください。 ©2026 Noriaki Hayashi

7. Blue Team Labs Online入門 – みんなで挑むログ解析バトル 本日のゴール設定 • まずは、BTLOへログイン 本番環境に影響を与えない。失敗は学びの機会！

   • Activeなインベスティゲーションへの挑戦 ポイント獲得を⽬指しましょう。 • 競技会（CTF）形式の挑戦 競技会で使われているスコアボード（CTFd）の操作⽅法に慣れましょう。 • ログ解析・OSINT（公開情報検索）の基礎を習得 Linux CUI（grep/awk/find/xargs）のほか、 Gnumeric（表計算ソフト）も使⽤。 腕におぼえあれば、Splunkに挑戦してください。 ©2026 Noriaki Hayashi

8. Blue Team Labs Online入門 – みんなで挑むログ解析バトル まずは、プラットフォームへアクセス https://blueteamlabs.online/

9. Blue Team Labs Online入門 – みんなで挑むログ解析バトル 本番環境を壊さずに、リアルな演習ができる BTLO（無料学習サービス） ブラウザーベースの 仮想環境

   Amazon EC2インスタンス 防御 マインドの獲得 出典. BTLO Foxy 仮想環境のデスクトップ ©2026 Noriaki Hayashi

10. Blue Team Labs Online入門 – みんなで挑むログ解析バトル 次は、スコアサーバーへアクセス

11. Blue Team Labs Online入門 – みんなで挑むログ解析バトル スコアサーバーの使い方 ©2026 Noriaki Hayashi

    • ヒントは上から順に開く • 閲覧にはCostが必要（獲得ポイ ントのマイナス対象）な項⽬も ある • 獲得ポイントは問題の難易度が ⾼いほど⾼得点

12. Blue Team Labs Online入門 – みんなで挑むログ解析バトル 初心者向け vs 上級者向け ヒントを参照してサクサク進行

    ノーヒント ©2026 Noriaki Hayashi [Web][Splunk]カテゴリから 5〜20ptの10問が出題 Q番号の低いものを順に。躓いたらQを スキップする戦術も重要。 [Log][OSINT]カテゴリから 5〜10ptの13問が出題 [Log] のQ番号が低いものを順に挑戦して いきましょう。そして[OSINT]カテゴリへ

13. Blue Team Labs Online入門 – みんなで挑むログ解析バトル スコアボードで参加者の進行状況を確認 ©2026 Noriaki Hayashi

    • [スコアボード]で参加者の進⾏ 状況を確認することが可能 • 持ち点（160pt）を使ってヒン トを参照し、ポイントを獲得し ていく • ノーヒントで全問クリアすれば 最⼤410pt獲得することが可能

14. Blue Team Labs Online入門 – みんなで挑むログ解析バトル Foxy シナリオを確認 1/2 インテリジェンスアナリストとして、

    あなたはSOCアナリストの調査を⽀ 援し、追加の⽂脈や情報を提供する 役割を担います。 CSVファイルを開く際は、Gnumeric の使⽤を推奨します。あるいは、 exportsフォルダー内でLinuxのCLI コマンドを利⽤してください。 ©2026 Noriaki Hayashi

15. Blue Team Labs Online入門 – みんなで挑むログ解析バトル Foxy シナリオを確認 2/2 注意

    ログ解析とOSINT問題が混在 • 問題はQ1からQ16の出題 • ログ解析はQ1, 2, 6, 11, 12, 13, 14, 15の8問 • OSINT問題はQ3, 4, 5, 7, 8, 9, 10, 16の8問 • 今⽇はログ解析問題の攻略を⽬指 しましょう！ ©2026 Noriaki Hayashi

16. Blue Team Labs Online入門 – みんなで挑むログ解析バトル ハンズオン・スタート ©2026 Noriaki Hayashi

17. Blue Team Labs Online入門 – みんなで挑むログ解析バトル Blue Team Labs Online入門

    – みんなで挑むログ解析バトル ໰୊߈ུͷ ώϯτʂ ©2026 Noriaki Hayashi

18. Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント0. まずはいつもの「メタデータ」を確認 $ cd

    Desktop/ThreatFox\ Exports/ $ ls $ file full_urls.csv $ head full_urls.csv • 「ThreatFox Exports」フォルダーにはどんなファイルが保管されて いますか。 • 保管されているそれぞれのメタデータ（ファイル形式）を確認 • ファイルの先頭（head）・末尾（tail）からログの書式を確認 ©2026 Noriaki Hayashi

19. Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント1. Q1は検索パターンを検討する ~/Desktop/ThreatFox Exports$

    cat -n full_urls.csv | grep 45.63.126.199/dot.gif • cat ‒nオプションを指定し、⾏番号を表⽰ • grepコマンドで指定したパターンを含む⾏を表⽰ ※ここで検索すべきパターンは3台の内部ホストが接続したURL ©2026 Noriaki Hayashi

20. Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント2（1/2）. Q2はすべてのCSVが調査対象 • 複数のCSVファイルから特定のパターンを含む⾏数を検索するには

    どうすればよいか（複数回の実⾏？） • 得られた結果を加算するにはどうすればよいか（電卓の使⽤？） • grepコマンドのオプションを確認（-c: ⼀致する回数のみ表⽰, -E: 検索に拡張正規表現をしよう, -v: パターンに位置しない⾏を表⽰） • xargs（エックス アーグス）コマンドで標準⼊⼒から読み込んだ⽂ 字列を、後続コマンドの引数として渡すことができる • ワンライナーでの解答を⽬指そう！ • awkコマンドを使えば計算ができる！（2列⽬をすべて加算したい） ※| awk -F: '{sum += $2} END {print sum}' ©2026 Noriaki Hayashi

21. Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント2（2/2）. Q2はすべてのCSVが調査対象 $ pwd

    $ find . -type f -name '*.csv' -print0 | xargs -0 grep -c 'dot.gif' コマンドは常に” ThreatFox Exports”フォルダー内で実⾏ $ grep -c 'dot.gif' *.csv | awk -F: '{sum += $2} END {print sum}' ©2026 Noriaki Hayashi

22. Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント14（1/2）. CUIでの解法を諦めました… =COUNTIF(J:J,"100”) 範囲

    条件 [confidence_level]列 信頼度が”100”と等しい full_urls.csv - Gnumeric ©2026 Noriaki Hayashi

23. Blue Team Labs Online入門 – みんなで挑むログ解析バトル ヒント14（2/2）. CUI解法を教えてもらいました $ awk

    -F ', ' ' $10 ~ /100/' full_urls.csv | wc -l •「カンマ＋半⾓スペース」で1列を区切る、形式の CSV を 想定しています。 • 「10列⽬の⽂字列が 100 を含む⾏だけ出⼒する」の表現 ・$10 は「10番⽬の列」を指定 ・~ は「正規表現にマッチするか」の演算⼦ ・/100/ は「⽂字列 100 を含むか」という正規表現 ©2026 Noriaki Hayashi

24. Blue Team Labs Online入門 – みんなで挑むログ解析バトル ੋඇɺײ૝Λ ͓଴͓ͪͯ͠Γ·͢ʂ X, Qiita/Zenn,

    note, ブログ ハッシュタグ #P3NFEST #StayVigilant ＼おつかれさまでした！／ ©2026 Noriaki Hayashi

25. Blue Team Labs Online入門 – みんなで挑むログ解析バトル Blue Team Labs Online入門

    – みんなで挑むログ解析バトル γϯϓϧʹ ूத͢Δ ©2026 Noriaki Hayashi

26. Blue Team Labs Online入門 – みんなで挑むログ解析バトル 情熱をもって取り組めることを実践する ©2026 Noriaki Hayashi

    出典：『実践サイバーセキュリティ⼊⾨講座 現場に残された痕跡からハッカーの攻撃を暴け』 P. 343 Chapter 8, 図 8.1 WILL・CAN・MUSTフレームワーク

27. Blue Team Labs Online入門 – みんなで挑むログ解析バトル Blue Team Labs Online入門

    – みんなで挑むログ解析バトル 2" ©2026 Noriaki Hayashi

28. Blue Team Labs Online入門 – みんなで挑むログ解析バトル 『実践サイバーセキュリティ入門講座 現場に残された痕跡からハッカーの攻撃を暴け』 ¥3,080 税込

    376P ／ ISBN 978-4815634254 Kindle版あります。 SBクリエイティブ株式会社 ITエンジニア本大賞 2026 技術書部門 ベスト10 入賞！