【メモ】OSDAシラバス
この記事の目的
OSDAのシラバス観点を、試験で求められる「できること」へ翻訳して整理する。具体的には、**大分類(スキル領域)と中項目(具体スキル)**の2階層に落とし、行動レベルで確認できる表にする。
シラバス観点を「できること」に再編した一覧
| 大分類(スキル領域) | 中項目(中項目スキル分類) |
|---|---|
| 1. 侵害シナリオ理解・攻撃者行動のモデル化 | 1-1 Kill Chain / 侵害フェーズ分解(初期侵入→実行→永続化→横展開…) / 1-2 MITRE ATT&CKで手法を整理しログへマッピング / 1-3 フェーズごとの「観測できる痕跡仮説」を立てる(どのログに何が残るか) / 1-4 検知観点の言語化(「何が起きたら怪しいか」を説明できる) |
| 2. ログ基礎・可観測性(横断) | 2-1 タイムライン思考(時系列で因果をつなぐ) / 2-2 エンティティ整理(ユーザ/ホスト/プロセス/親子関係/セッション) / 2-3 正常系の把握(ベースライン)と異常の切り出し / 2-4 証拠として成立するログ要素(日時、主体、対象、結果、相関ID等) |
| 3. Linuxエンドポイントログ解析 | 3-1 syslog / journal の読み方(認証・権限・サービス動作) / 3-2 認証系ログ(SSH等)の不審兆候(ブルート、失敗→成功、地理/時間の違和感) / 3-3 プロセス/daemonの痕跡(実行、権限、永続化の兆候) / 3-4 Webログの読み方(アクセス、エラー、異常パラメータ) / 3-5 Python等によるログ分析の自動化(抽出・集計・相関) |
| 4. Windowsエンドポイントログ解析 | 4-1 Windowsイベントログの基礎(ログ種別、意味、監査の前提) / 4-2 Sysmonでのプロセス/ネットワーク/ファイル/レジストリ追跡 / 4-3 PowerShellログ(Script Block等)での実行痕跡理解 / 4-4 レジストリ/永続化の典型パターンをログで説明 / 4-5 “攻撃に見える正常”を見分ける視点(管理作業との切り分け) |
| 5. 典型攻撃の痕跡読解(Host/Web/ID) | 5-1 Credential Abuse(不審ログイン、ブルート、パスワードスプレー) / 5-2 Web攻撃(LFI/コマンド注入/SQLi)とログ上の兆候 / 5-3 PrivEsc(権限昇格)の前兆・成功後アクションの痕跡 / 5-4 永続化(Persistence)手法の痕跡(Windows/Linux) / 5-5 横展開(Lateral Movement)の典型フローとログ相関 |
| 6. Active Directory / Kerberos中心の検知理解 | 6-1 AD列挙(Enumeration)の兆候 / 6-2 Kerberos abuse(例:Kerberoasting等)の観測点整理 / 6-3 AD永続化(例:Golden Ticket等)の「何が変わるか/何が残るか」 / 6-4 ドメイン侵害の到達点(権限・アクセス)を証拠で言える |
| 7. ネットワーク検知(IDS/ルール/通信挙動) | 7-1 IDS/IPSの基本概念とログの読み方 / 7-2 Snort等のルール観点(何を条件にして検知しているか) / 7-3 C2通信の兆候(周期性、DNS/HTTP挙動、User-Agent等) / 7-4 Egress Bypassing / トンネリング検知の観点(DNS/ICMP/HTTP等) |
| 8. SIEM(ELK)運用スキル:調査・検知設計 | 8-1 ELKの基本(取り込み、フィールド、クエリ、可視化) / 8-2 Integrations(例:osquery等)でデータソース拡張 / 8-3 Rules/Alerts設計(誤検知抑制・相関・閾値) / 8-4 Timeline/Casesでの調査手順化(ケース管理) / 8-5 シナリオ追跡(Combining the Logs):複数ログを相関して結論へ到達 |
| 9. 10フェーズ試験対応スキル(作業設計・実戦力) | 9-1 フェーズ単位の調査型(仮説→クエリ→証拠→結論)を固定化 / 9-2 フェーズ間のつながりを追う(前フェーズ成果を次へ引き継ぐ) / 9-3 23:45で回す段取り(証拠収集優先、文章は骨子化) / 9-4 「採点されるアウトプット」に寄せる(不足=減点リスク管理) |
| 10. レポーティング(証拠能力・再現性) | 10-1 スクショ要件を満たす撮り方(画面・イベント一覧・相関) / 10-2 クエリ文字列の提示(再現可能性) / 10-3 フェーズごとの結論(攻撃者が得た権限/アクセス)を明確化 / 10-4 文書構造(事実→解釈→結論)で書く / 10-5 提出品質まで推敲(抜け漏れチェックと整合性確認) |
この表は、「試験で点になる行動(ログ→仮説→クエリ→証拠→文章化)」に直結するように切ってある。
OSDA/SOC-200で「扱うログ」を整理する
OSDA/SOC-200で扱うログを、**大分類(ログドメイン)→中分類(ログ種)**で整理しつつ、**どこが出力するか(レイヤ/発生源)**も併記する。製品名はあくまで例で、考え方の整理を目的にしている。
| 大分類(ログドメイン) | 中分類(ログ種) | 主な出力元(どこが出す?) | レイヤ(ざっくり) | 何が分かる/強い観測点 |
|---|---|---|---|---|
| 1. エンドポイント(ホスト)ログ | プロセス実行/親子関係 | OS / EDR / Sysmon 等 | ホスト/OS | 実行ファイル、親子、引数、実行ユーザ、開始/終了 |
| 〃 | ファイル操作 | OS / EDR / Sysmon 等 | ホスト/OS | Drop、改変、暗号化、実行前後の痕跡 |
| 〃 | レジストリ/永続化 | Windows(Registry監査・Sysmon等) | ホスト/OS | Runキー、サービス登録、WMI永続化の兆候 |
| 〃 | PowerShell/スクリプト | Windows(PSログ/AMSI周辺) | ホスト/OS(スクリプト実行) | 実行内容(ScriptBlock等)、難読化の兆候 |
| 〃 | Linux syslog/journal | Linux(rsyslog/journald) | ホスト/OS | サービス、認証、システムイベントの基礎 |
| 〃 | コマンド履歴(参考) | bash/zsh history 等 | ユーザ/OS | 事故調査に有効だが改ざん容易(補助証拠) |
| 2. 認証・IDログ | OSログオン/ログオフ | Windows Security Log / Linux auth.log 等 | ホスト/ID | 成功/失敗、ログオン種別、発生端末 |
| 〃 | AD認証(Kerberos/NTLM) | DC(Domain Controller) | ID基盤 | Kerberoasting兆候、チケット利用、横展開の鍵 |
| 〃 | SSO/IdP認証 | IdP(例:SAML/OIDC基盤) | アプリ/ID | クラウド利用の入口(異常IP、MFA、失敗連発) |
| 〃 | MFA/条件付きアクセス | IdP / MFA基盤 | ID/ポリシ | 迂回、疲労攻撃、ブロック理由の把握 |
| 3. ネットワーク通信ログ | フロー(NetFlow等) | ルータ/スイッチ/Flow Collector | ネットワーク(L3/L4) | “誰がどこへ”の骨格(ポート・量・方向) |
| 〃 | DNSログ | DNSサーバ / リゾルバ | ネットワーク/名前解決 | C2の名前、DGAっぽさ、トンネリング兆候 |
| 〃 | Proxy/HTTP Gateway | プロキシ/ゲートウェイ | アプリ(L7) | URL、User-Agent、カテゴリ、ブロック理由 |
| 〃 | Firewallログ | FW/NGFW | ネットワーク(L3/L4) | 許可/遮断、NAT、外向き通信の重要証拠 |
| 〃 | IDS/IPSアラート | IDS/IPS(Snort等) | ネットワーク(L7も) | シグネチャ/ルール一致、C2、Exploit兆候 |
| 〃 | VPN/リモートアクセス | VPN装置/ゼロトラ基盤 | ネットワーク/ID | 誰がいつ社内へ入ったか、端末/場所 |
| 4. Web/アプリケーションログ | Webアクセスログ | Nginx/Apache/IIS | アプリ(L7) | URI、パラメータ、ステータス、UA、攻撃痕跡(LFI/SQLi等) |
| 〃 | Webエラーログ | Nginx/Apache/IIS | アプリ(L7) | 500系/例外、攻撃で壊れた兆候、探索 |
| 〃 | アプリ内部ログ | アプリ(Java/Node等) | アプリ(L7) | 認可失敗、ビジネスイベント、例外、トレースID |
| 〃 | 認可/監査ログ | アプリ/ミドル | アプリ/監査 | “何をしたか”の真実に近い(操作監査) |
| 5. データベース/ストレージログ | DB監査(クエリ/接続) | DB(MySQL/PG等) | データ層 | 異常クエリ、権限、データ抽出(ただし量に注意) |
| 〃 | DBエラー/スローログ | DB | データ層 | インジェクション兆候、性能異常、探索 |
| 〃 | オブジェクトストレージ監査 | S3等の監査ログ | データ層/クラウド | 取得/削除/列挙、外部公開、漏えいの痕跡 |
| 6. クラウド基盤ログ | コントロールプレーン監査 | CloudTrail等 | 管理プレーン | IAM変更、鍵発行、セキュリティ設定改変 |
| 〃 | IAM/認証ログ | クラウドIAM | 管理プレーン/ID | 権限昇格、ロール引受、キー悪用 |
| 〃 | ワークロードログ | VM/コンテナ/関数 | 実行プレーン | どの処理がどの環境で動いたか |
| 〃 | LB/ゲートウェイログ | ALB/ELB等 | ネットワーク/アプリ | 入口の可視化、WAFと合わせて強い |
| 7. セキュリティ製品ログ | EDR検知/隔離ログ | EDR管理コンソール | ホスト/検知 | “何をマルウェア扱いしたか”、隔離/遮断 |
| 〃 | AV/AMSIイベント | AV/OS連携 | ホスト | スクリプト/メモリ系の検知手掛かり |
| 〃 | WAFログ | WAF | アプリ(L7) | Web攻撃の入口、ルール一致、遮断理由 |
| 〃 | DLP/メールセキュリティ | DLP/SEG | アプリ/データ | 外部送信(漏えい)の監視に強い |
| 8. SIEM内部のメタログ | 正規化/パース結果 | SIEM(Ingest/Parser) | SIEM | フィールド欠落、時刻ずれ、取り込み失敗 |
| 〃 | ルール/アラート発火 | SIEM Detection Engine | SIEM | どの条件で鳴ったか、抑止の設計材料 |
| 〃 | ケース/タイムライン操作 | SIEM Case Mgmt | SIEM | 誰が何を判断したか(調査監査) |
レイヤの見方(超ざっくり)
- ホスト/OS(Endpoint):プロセス・ファイル・レジストリ・イベントログ。侵害の“手触り”が一番出る。
- ネットワーク(L3/L4):フロー・FW。広く見えるが“中身”は薄め。
- アプリ(L7):Web/Proxy/WAF/アプリログ。攻撃内容や操作が見える。
- ID(認証基盤):AD/IdP/MFA。横展開・権限の真相解明に強い。
- 管理プレーン(クラウド/基盤):設定改変・鍵・権限変更。破壊力が大きい変更が出る。
OSDA向けの“まず押さえるログ優先度”の目安
- SIEMに入っている主要データソース(コース/ラボの前提)
- Endpoint(Windows Sysmon/イベントログ、Linux auth/syslog)
- Web(アクセス/エラー)+Network(DNS/Proxy/FW)
- AD/Kerberos(出題されると差がつく)
- SIEMメタログ(「見えないのは取り込み不備」を切り分ける)
参考資料(出典)
- なし