ハニーポット導入後、順調に攻撃が飛んできているようです。（access_logを見る限り）

せっかくなのでIDSを入れてみます。

フリーのホスト型IDSといえばsnortが昔からありますが、

もうちょっと新しいSuricataというものを選んでみました。

いくつかの記事を参考にしつつ、インストール完了。

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_(PPA)

【初心者向け】オープンソースのIPS「Suricata」をCentOSに構築した話 - Qiita

趣味でIPSを使ってみた話 - Qiita

CentOS 6.5 に Snorby と Suricata をインストール | みむらの手記手帳

で、/var/log/suricataにあるfast.logを見てみると

取れてる取れてる。以下抜粋。

-------

ET WEB_SERVER Possible SQL Injection Attempt UNION SELECT 219.103.***.**

ET WEB_SERVER Possible SQL Injection Attempt UNION SELECT 219.103.***.**

ET WEB_SERVER Script tag in URI Possible Cross Site Scripting Attempt 219.103.***.**

ET DROP Dshield Block Listed Source group 1 181.214.**.**

ET SCAN Potential SSH Scan 119.249.**.***GPL WEB_SERVER DELETE attempt 219.103.***.**

ET SCAN Suspicious inbound to MSSQL port 1433 183.131.***.**GPL WEB_SERVER DELETE attempt 219.103.***.**

ET CINS Active Threat Intelligence Poor Reputation IP group 99 107.170.***.***

-------

SQLインジェクションとXSSはOWASP ZAPを用いての検知テスト。

他は詳細を調べないとよくわからない感じなものも多いです。

シグネチャに関しては最近流行りのCisco Smart Install Exploitation Toolを狙った通信を検知できるようなのも入っているので、旬なものはまぁまぁ検知できるのかなーと。

サーバに入って生ログを見るのもだるいし、せっかくなので操作を身に着けたいということでSIEMのデファクトスタンダード感があるSplunkを入れてみることにします。

（500MB/日まで無料で取り込み可）

2017年度4月の、記念すべき第1回開催分で取得しました。

きっかけは会社がとれとれうるさいので…。金融は資格資格うるさいです。

簡単に感想を。

・午前1

　人によってはもっともハードルが高いかもしれないやつ。

　n進数やらなんかプロジェクト管理とかコンピューター理論かわからないけどいろいろ出る。まともに勉強していたらいつまで経っても終わらないように感じたし、過去問やってもさっぱりわからないしわかる気にもならない。

　情報収集の結果、過去問の使い回しが半分近いということなので、暗記でなんとかなると思い応用情報の午前を5年分ダウンロードし印刷。過去問道場があるけれど、午前1は完全に文章に対応する選択肢を覚える、という点に注力しているので、試験と同じフォント、位置関係、大きさを重視し職場のプリンタで印刷し、通勤中はひたすら暗記。かなりつまらないしきつい。4割過去問暗記で正解、1割は勘、1割は一応経験があるセキュリティで正解ということで6割目指すという算段。

　結果、本当にギリギリ18問正解で突破。まぁ、結果オーライで。次は無理だな。極端な話ですが、簡単なものに分類されるであろう計算問題すら解こうと思いませんでした。

・午前2

　業務でセキュリティをやっていて、時事ネタも追っていれば楽勝。こちらも過去問の使い回しがかなり多いので、過去問道場ポチポチで60点は余裕。新しい問題いくつかでたけど。SC以外にNWの午前2もやっておくと盤石かもしれません。

　知っておくべきことも多いと思ったので、午後問題の基礎固めにも用語は理解しておいてもよいかもしれない。試験日の10日前くらいから過去問道場ポチポチでも余裕だと思う。

・午後1、2

　よく言われますが、この試験のメインコンテンツ。午前で落ちる人は単純に不勉強。

　実際のインシデント対応や開発で見たことあるような事例が出るので、やはり経験者有利。とはいえ未経験者も諦める必要はまったくなく、過去問を解くというより、実際の事例として読み物のように読んで、あたかも自分が経験したことのようにすると経験値が上がる気がする。問題自体は良問なので。いつも表紙が可愛い絶対わかる！シリーズで、状況をシミュレートしながら読むだけでだいぶ違うと思う。私はダルくて過去問を解く、ということはできませんでした。

絶対わかる情報処理安全確保支援士 2018年春版

• 作者: 濱野谷芳枝,八木美智子,山崎圭吾,佐宗万祐子
• 出版社/メーカー: 日経BP社
• 発売日: 2018/02/16
• メディア: 単行本
• この商品を含むブログを見る

 

　知識や経験があればそれだけで高得点を取れるかというとそういうわけではなく、IPAが求める答えを書く必要がある。それには人気のポケスタでこういう問いにはこういう答え、というIPA対応を身に着けておくとよいと思った。

試験に備え、よくある分厚い参考書も読んだけど、試験の役に立ったかは微妙かな？体系的に勉強し直せた点はよかった。

　職場ではセキュリティの経験がほぼ無いような人でも数名取っていて、経験なくても合格できる試験。（取った人たちは皆お勉強が得意な人たちでしたが）なので、勉強すれば取れます。

ちなみに会社がお金を出してくれないので私は登録していません。

　就職、転職に役に立つか？だと会社によるのかもしれないと思う。ユーザ系企業なら「尚可：情報処理安全確保支援士」、みたいな案件もあるので。そういうところなら足切り対策にはなるかな？こちらも登録は前提としておらず、合格だけしておけばいい感じだと思います。

　CISSP取らなきゃと思い早1年経ちますが、なかなか勉強が進まない。2018年6月予定の日本語公式ガイドブックに期待したいところ。