親記事 → CTFにおけるフォレンジック入門とまとめ - はまやんはまやんはまやん

ログフォレンジック

• かなりざっくりした分野定義であるが、とあるログに対して解析をするジャンル
  • ログの対象に対する理解、どのようなログがどこに残るか
  • ログを収集するアプリケーションの使い方を理解しているか
• どんなログを対象とする？
  • syslogとか、/var/log配下を読む
  • Windowsイベントログ
  • Apacheのアクセスログ
  • IISのアクティブログなど
  • 認証ログとか、EDRのログとか、WAFのログとか、ほんとに色々。全部。
• どういうスキルが必要？
  • ググって理解する能力
    • 初めて見るログや内容も出てくると思う。頑張ってググる
  • 背景知識を知ってるか
    • 有名な脆弱性のペイロードだったり、Webの攻撃手法とか、ネットワークの攻撃手法を知っているとログが読みやすいかもしれない
  • シェル芸に長けていると解析しやすいかも
    • 大量のログデータが与えられることもあるので、grepするとか、ワンライナーでさっと統計情報を取れるようになっているといい
  • ログを扱うデータベースをうまく扱うことができるか、クエリ検索できるか
    • Elasticsearch、SplunkでSPLとか
  • 目grep力
• snortルール: EDR向けの検知ルール記法。CTFで見たことはないけど