Zenn
🕵️‍♂️

【OSDA・OSTH・OSIR】Offsecのブルーチーム向け資格紹介

2024/12/10に公開
Security
soc
フォレンジック
offsec
ブルーチーム
tech

みなさんこんにちは、m(@the_art_of_nerd)です。

2024年はOffsecの資格取得と知識習得に励んでいましたが、この学習を通して取得したブルー系の資格について情報共有として本ブログにまとめます。

はじめに

先日、Offsecから新たにリリースされたOSIRというフォレンジックの資格に合格し、これで現在リリースされているOffsecのブルーチーム向けの資格3種類の資格をコンプリートしました。

OSDA・OSTH・OSIR

これら資格の比較情報はまだブログ等ないため、本ブログ内で紹介し今後ブルーチームの方(レッドチームの方も)が、Offsecの資格へ挑戦する際、どの資格やコンテンツから始めるのがよいのか紹介できればと思います。

なぜブルー系の資格を取るのか

資格説明の前に、「なぜ自分がブルー系の資格を取るのか」を共有します。

セキュリティインシデントは、「いつ発生・どんな経路・手法・被害」が発生するか不明
(自組織のセキュリティ対策をしっかり把握していればある程度予想は可能かもしれませんが)です。

そのため、いざSIEMやEDRからアラートが上がってきた際に、以下のような"つまずき"で時間を使うことなく、サクサク調査を進める必要があります。

  • これってどんな攻撃なの
  • この攻撃の次に続く攻撃は何だっけ
  • 初期進入ってどんなケースがあるんだっけ
  • 攻撃の全体像がイメージできない

サクサク調査を進めるためには、日頃から攻撃者のテクニックを学習したり、その腕試しの場が必要だと考えています。自分の場合、その腕試しの場が資格試験というわけです。

資格の種類

Offsecのブルーチーム向けの資格にはどんなものがあるのか以下にまとめてみました。(2024年12月)

  • OSDA(Offsec Defense Analyst )
  • OSTH(Offsec Threat Hunter)
  • OSIR(Offsec Incident Responder)

個別の紹介に移る前に、3つに共通していることをまとめます。

  • コンテンツのレベル:200レベル
  • 価格:2599ドル(LearnOneの場合)
  • 認定試験付き

コンテンツで学べる内容

ザックリ学習できる内容をまとめています。
OSDAに比べて、OSTHとOSIRはまだリリースされたばかりのため、コンテンツやチャレンジラボは少ないです。
そのため、OSTHとOSIRを別々に2つ購入するのであれば、思い切ってLearn Unlimitedプランを購入し、その一環として1-2ヶ月程度でOSTHとOSIRを学び資格試験に挑戦する流れをオススメします。

OSDA

2022年3月にコンテンツリリースされ、Offsecで初めて登場したブルーチーム向けのコースです。

  • WindowsやLinuxへの攻撃方法とそれを検知する方法
  • Active Directoryへの列挙・横展開・永続化の紹介と検知方法
  • マルウェアの検知ロジックの紹介とAMSIのバイパス方法
  • SIEMの利用とカスタム分析ルールの作成方法

https://www.offsec.com/courses/soc-200/

OSTH

2024年9月にコンテンツリリースされたばかりのため、まだコンテンツやチャレンジラボは少ないです。

  • 脅威ハンティングとは
  • 脅威アクターについて
  • 脅威ハンターとして内外との連携の仕方
  • 脅威インテリジェンスレポートの作成方法
  • ネットワーク・エンドポイントでのハンティング(CrowdStrike)
  • IoCがない脅威をハンティング(Splunk)

https://www.offsec.com/courses/th-200/

OSIR

2024年11月にコンテンツリリースされたばかりのため、こちらも同じくまだコンテンツやチャレンジラボは少ないです。また、8 ~ 9割ほどが座学で残りに少しハンズオン形式があります。(もうちょっとハンズオン形式のラボが欲しかった)

  • インシデントの概要(インシデントの種類、過去の事例など)
  • インシデントの基礎(フレームワークの紹介、SOCやインシデントチームの役割など)
  • インシデントの対応(準備方法・検出や分析・根絶復旧・対応後の事後分析)
  • Splunkを用いた調査
  • AutoPsyを用いたディスクイメージ分析
  • Volatilityを用いたメモリフォレンジック
  • ネットワーク通信ログ(pcap)のフォレンジック

https://www.offsec.com/courses/ir-200/

オススメする層

初学者であれば個人的には OSDA → OSTH → OSIRの順番で学習するとキレイかと思います。

OSDA

  • これからSOCのエンジニアとしてスキルを上げていきたい方
  • 普段はレッドチーム側だが、攻撃がどのようにログとして残るのか、検知されるのか知りたい方
  • SIEM(ELK)の機能を知りたい方
  • SIEMから不審なイベントを調査するスキルを上げたい方

OSTH

  • SOCのベースはあるため、次に脅威ハンティングをこれから学びたい方
  • 脅威グループの情報から自組織への影響を調査したい方
  • 脅威ハンティングのレポートのまとめ方を学びたい方
  • EDR(CrowdStrike Falcon)を用いたエンドポイントの調査を行いたい方

OSIR

  • SOCと脅威ハンティングは理解しているのでフォレンジックに挑戦したい方
  • セキュリティインシデントが発生した際の動き方を学びたい方
  • AutoPsyを用いたディスクイメージ分析を学びたい方
  • Volatilityを用いたメモリフォレンジックを学びたい方
  • ネットワークログフォレンジックを学びたい方
  • Splunkを用いたWindowsイベントログ(+ Sysmon)を学びたい方

試験の難易度

個人的に試験を受験して感じた難易度を3つの中で順番に並べると以下です。

  1. OSDA(高)
  2. OSIR(中)
  3. OSTH(低)

この順番を見た方で中には「初学者へのオススメと逆では?」となるかもしれませんが、最初の山を超えてしまえば、"試験だけ"を考えるのであればという順番付となっています。

OSDA

  • 難しかった点
    • OSDAは試験時間が23時間45分と長く、1日中ずっとSIEMと向き合う必要があり大量・集中力が求められる。
    • 試験は全10フェーズあるが、フラグという概念がないため現在何ポイント取れているかは不明
    • 上記に加えレポートの内容によっては減点されるため証跡集めを徹底する必要がある
  • 簡単だった点
    • チャレンジラボの種類も多く、ヒントもSlackから得れるため迷いにくい
    • レポートは他2つと比べると必須で記載する項目が少ない

OSTH

  • 難しかった点
    • 業務で利用していないSplunkの操作を覚える必要があったこと
    • レポートの要件が細かく、発生した攻撃事象の全体の説明や根絶・攻撃ツールの特定・改善策等を記載する必要がある。
  • 簡単だった点
    • 試験時間は8時間とOSDAに比べると短い
    • Challenge Labは1つのみで、1回クリアしておくと合格できるレベル感
    • OSDAと比べてフラグを提出する必要があるため、正解/不正解が試験中に分かる

OSIR

  • 難しかった点
    • 業務で利用していないSplunkの操作を覚える必要があったこと
    • CTF的な要素があり、ただイベントログを特定するだけでは合格点に到達できないこと(難しいというより楽しかったが近い)
    • OSDAと比べてフラグを提出する必要があるため、正解/不正解が試験中に分かる
    • レポートの要件が細かく、発生した攻撃事象の全体の説明や根絶・復旧・改善策等を記載する必要がある。
  • 簡単だった点
    • 試験時間は8時間とOSDAに比べると短い
    • Challenge Labは1つのみで、1回クリアしておくと合格できるレベル感

類似の資格

私は上記で紹介した3種類と同じジャンルの資格を別企業でも保持しているため、そちらも軽く比較紹介します。なお、試験の難易度はこちらの方が高いです。

  • eCIR(Incident Response)
  • eCTHPv2(Threat Hunting)
  • eCDFP(Digital Forensic)


eCTHPv2


eCIR


eCDFP

これはeLearn Security(現在はINEに買収?)が提供しているOffsec同様の実技資格です。
それぞれ、Offsecとの違いを覚えている限りまとめてみました。

eCIR

OSDAと同じ立ち位置です。

  • EKL・Splunkどちらも覚える必要がある
  • OSDAに比べてより攻撃の知識が求められる
  • Active Directoryへの理解がより求められる
  • 試験ではイベントの量が膨大
  • 試験は48時間・レポーがト48時間

過去に記載した受験記
https://www.leon-tec.co.jp/blog/11498/

eCTHPv2

OSTHと同じ脅威ハンティングの資格です。

  • EKL・Splunkどちらも覚える必要がある
  • 試験ではイベントの量が膨大
  • 試験は48時間・レポート48時間

過去に記載した受験記
https://www.leon-tec.co.jp/blog/11355/

eCDFP

OSIRと同じフォレンジックの資格です。

  • 手動カービングを覚える必要がある
  • ディスクイメージフォレンジックはこちらの方が詳細に学べる
  • 試験は24時間
  • レポートは不要

過去に記載した受験記
https://www.leon-tec.co.jp/blog/11236/

上記の資格をオススメする層は、Offsecより価格面が圧倒的に安いため「金額面でOffsecはちょっと・・・」という方や、試験の難易度自体はOffsecより全て難しい試験でしたので、「より難しい方に挑戦してみたい!」という方です。一方で、知名度では圧倒的にOffsecが有利のため、「INE?eLearn Security?なにそれ」となるデメリットがあります。

まとめ

今回は、Offsecのコンテンツをもとに、SOC、脅威ハンティング、フォレンジックに関連する資格についてご紹介しました。これらはすべてブルーチーム向けの資格ですが、役割ごとに細かく分けて考えると、対象となるおすすめの層が異なります。このブログを通じて、ブルーチーム系の資格取得を目指す方がさらに増えることを願っています。

Discussion