4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

Blue Team Level 1 gold coinを獲得しました。

Misc

BTL1(Blue Team Level 1)の概要

名前の通りBlue Teamのための資格であって、

  • フィッシング攻撃の分析と対応
  • デジタル証拠の収集および分析するフォレンジック調査
  • SIEMプラットフォーム(splank)を使用して悪意のあるアクティビティの調査
  • マルウェア感染を含むログおよびネットワークトラフィック分析

等々の入り口のような実践的なスキルを学ぶことができる。

試験の準備

申し込み

通常価格は、£399です。399ポンドで高いなぁと常々思っていたが、ブラックフライデーのときに100ポンド安かったので買ってみました。

申し込み段階での自身のBlueTeam関連スキル

分かりやすい?ものだけピックアップ

  • CTFはForensicsだけを狙って1年半くらい集中していた
  • Enisa - Technicalにある無料コンテンツは、全て取り組み済み
  • CFReDSのHacking Caseだけは完走
  • Autopsy 8-Hour Online Trainingを完走

申し込み後にアクセスできるコンテンツ

購入後に、コンテンツやトレーニングコンテンツごとに用意されたラボ環境へのアクセスは今は4か月可能らしい。自分の場合には、たしか購入時に30日以内にコンテンツアクセスを始めるかどうか選べてすぐに始める方を購入した。その後、買ったまま他のコンテンツで学習していたので放置状態になり3か月くらい経って、そろそろやろうと思ったときにBTLの試験形態やコンテンツが大きく更新され、それに伴ってアクセス期間も3か月伸びていたのでさらに放置して、最後の2週間くらいで頑張りました。
アクセスできる学習コンテンツは、BlueTeamやサイバーセキュリティに関連する基礎知識や実践的なスキルの説明を読むだけのインプット系、そしてインプット系で得た知識を実践するLab環境がある。インプット系は公式の紹介ページにあるようなものを読むだけ。この読み物コンテンツは、特定の分野に偏ったものなので自分の場合には調べてもすぐに出てこないような話が沢山あって面白かったです。

インプットの学習コンテンツ(https://securityblue.team/why-btl1/ より)

Lab環境は、インプット系の学習コンテンツを読んでいるときに「次はLabに取り組みましょう」というようなときに関連スキルを実践できる。WebブラウザからアクセスするVNC
Lab環境(https://securityblue.team/why-btl1/ より)

Labは画像のように、必要なものが構築された環境(windowsのときもある)にそのときに取り組む問題ファイルが用意されており、ファイルを調査して問題に解答する。ここで仕方がないことだが、Lab環境が用意されている、つまりアクセス先は London, California, Sydney, Mumbaiでどこもping値が高い。自分の環境では、Californiaが一番マシで80~110のping値でweb vnc経由で環境を触っていた。お察しの通りまあまあ遅延があり偶に接続できなかったりフリーズすることもあるので、そういうのに耐えられない場合、まだ受けない方が良いかもしれません。ちなみに試験も、web vncの環境で調査を行うので同じように遅延に悩まされつつ取り組みました。自分の場合は、アパート備え付けのケーブルテレビのよわよわ回線なので光の良い回線を使っている人々はそんなに酷くないのかもしれません。Lab環境へのアクセスは、起動から6時間、全部合わせて100時間の制限があり時間を使いきった場合には追加(有料)できる。自分の場合はあまり使うことが無かったので94時間ほど残っている。
自分の場合のping

最初の説明では、「学習コンテンツに取り組まずに試験に取り組むこともできる」とあるが、新たな発見が必ずあるハズでもあるし、せっかくお金払ったのでやはり全部触り切ってから試験に臨むべきです。

申し込み後の追加学習

  • LetsDefendにサブスクしてMonitoringに沢山取り組む。
  • BTL1を提供してるところと同じところ?が運営しているBlue Team Lab Onlineの無料で取り組めるChallnegesに取り組む。
  • CyberDefendersの過去のCTFに取り組む

等々
LetsDefendのMonitoringに沢山取り組んだことで、Phishingの一般的な手口、ありがちなMalicious File形式等が見えてきたのでとても役立った。
自分の場合には試験でmalicious pdfがあり、どんなものか簡易的に確認するためにpdfの構造を知っていたので、このpdfの構造を調べるきっかけになったCyberDefendersのGetPDFに取り組んでおいて良かった。

試験

試験は学習コンテンツにアクセスするページからリクエストすると、5分くらいで始まる。Webカメラの設定や試験官とのコミュニケーション等は無く、本当に気づいたら始まっている。試験時間は24時間、問題は自分のときは20問あり、Lab環境のときと同じような問題形式になっている。試験環境はLab環境と同じような環境にアクセスし、自分の場合には主にphising mailの解析、侵害されたpcのイメージの解析、pcapの解析、splunkに溜まったログからインシデントに関するものの調査を行った。これらの調査により得られた情報から問題に解答する。問題は文章で答えるようなものではなく、一問一答の形式になっている。この問題を通して、インシデントの理解を進めていく。Lab環境と同じように試験環境も先の通りping値が高いので、遅延があっても落ち着いて急にフリーズしても焦らず取り組んだ。

試験では学習コンテンツで学ぶ内容だけでなく、他にも事前知識があった方がやはり取り組みやすい。例えば、

  • javascriptは読める
  • 学習コンテンツにあったもの以外のAutopsyの機能も難なく利用できる

等々。やはり、BTLが初級編と言っても事前知識は色々とあった方が楽なので学習コンテンツだけで満足せずに、他にも様々なリソースに触れておくべきです。

解答を提出すると、すぐに採点され結果が分かる。このとき70%以上で合格、90%以上(初回試験)でGold Coinに該当する。不合格の場合でも、1回だけは再試験の権利を持っている。

最後に一言

ping値で少しピンチな試験だった。