院內新進人員考核：紅藍攻防上機考

⚠️ 注意：此考核目前已不列入新人考核項目，但似乎仍可自由報名參加，故保留此文件提供分享交流。

2023-12-20 上午9:00 | Justyn Chen

筆記

一整天，早上一個半小時熟悉環境、提早午休，下午五個小時正式測驗

環境：TRAPA Cyber Range (https://cyberbluerange.nics.nat.gov.tw) 以及其對應的 Splunk (https://cyberbluerange-splunk.nics.nat.gov.tw)

這是商用軟體 (https://trapa.tw/products/)，沒辦法事先練習操作，也要院方有啟用伺服器才能連上。

但其實介面蠻人性化的，UI 像是整合好的 ERP 系統，用點擊的方式就可以切換不同主機上面的不同紀錄 (log)，不需要自己在 command line 做任何 vi。

畫面上也只會顯示個位數且必要的 log，不用體驗在文件海當中找紀錄，偽冒或刪除 log 的問題也會呈現在同一個頁面上。

log 雜訊、也就是不相干服務的紀錄甚至是可調項，據本院工程師所說考試時已經設為低雜訊了，實際體驗亦沒有太多與題目無干的紀錄。

最後，現場有本院負責本服務的工程師，同時開放 Google（有的題目不 Google 或叫出其他服務操作真的無法）。現場有同仁詢問使用 ChatGPT，工程師表示「餵給 ChatGPT 對答題也沒幫助」因而說服人資同意使用。

考試時會提早十分鐘讓你線上註冊（打信箱跟員工編號），TRAPA 與 Splunk 同個帳密。

全程需要螢幕錄影，賽後由人資的隨身硬碟收取。本場是使用 PowerPoint 錄製螢幕功能，由於錄製螢幕操控版在正上方，容易滑過時誤觸導致錄影中斷，本場有同仁爭取未來使用其他軟體。

TRAPA > SOC Room：題目出自這裡

每個 "ACTION"、行動就是一題，分別是一個藍隊的被滲透樣態

每個題目上面有橢圓形提示，例如 T1110，點進去會有該攻擊樣態的說明（=提示）e.g. Brute Force

橢圓形提示下面都會指定對應 log，例如 Login、email snort、File execution、Shell Scripts execution 等等，代表這題目只需要看這些 log 即可解答

log

本場考試查【過去 24 小時】即可。再往前沒有塞紀錄，可以放心不會被混淆。預設會一直帶回去查【過去 4 小時】，記得調回來。

每個 log 在文字搜尋部分都只能搜尋一個條件，沒辦法使用條件 (AND/OR…)，也沒辦法針對特定欄位搜尋。使用上需要技巧。

作答方式：表單

每個題目通常都需要回答兩個以上的填空。通常是該攻擊樣態涉及的時間 + 服務/檔名/帳號名，其他的可能有：涉及到的其他檔案的完整路徑、惡意郵件的寄信者、攻擊者在哪個執行將混淆字串還原為惡意程式的 …etc.。

log 的格式，尤其是時間 (YYYY-MM-DDTHH:MI:SS) 是可以直接複製貼上到表單裡送出的！

所有的填空都需要答對、該題才會得分。但答題記錄旁邊的複製符號可以讓你看到該次回答哪幾個填空正確、哪幾個錯誤，並且自動帶入該次解答到新的作答當中，方便改錯 (try-and-error)。

反覆送同一題的解答，處理時間會累加：這個時間是模擬攻防時找到可能解方時，也需要時間實作來確認

滿分 N 千分（正式考試是 2,000），每題 50 ~ 300 不等。

題目分數是按照「涉及查詢的深淺」而決定，這代表並不等價於難易度，因為院內同仁並非全都是資安攻防專業人員，並非都具有知道要看哪條紀錄的專業知識。於是便發生查詢步驟較多的題目，但可能涉及的服務較大眾 (e.g. WordPress admin login)，所以大家感覺比較簡單。

工程師表示，題目順序是模擬 SOC team (Security Operation Center，安全運營中心) 查找的過程，由外而內的檢索被滲透樣態，與題目難易度也無關。

題目內容：早上是模擬 APP28、下午是模擬 APP29

模擬考試以網路攻防為主，但實際考試卻是以 Windows AD 為主。而且題目可以抽換可以變，沒辦法參考。

MITRE ATT&CK 裡面是都有介紹，但看了該團隊執行的該類型攻擊介紹，對答題其實沒立即幫助，看看就好。

如果想為了紅藍攻防做準備...？

說實話我覺得完全沒辦法。

好啦不要 END。沒辦法的原因是紅藍攻防的變化很多，我可以因為寫過 WordPress 所以猜對以 WordPress 為案例的網路攻防，但別種網站的網路攻防我完全無法矇，Windows AD 更是如此，總不可能新人三個月讓大家在本職工作之外跑去做 MIS 兼架網站。

不過滿分 2,000，最高分 1,300、再來就 900、700、我 680 就本場第四了，其他人都非常低空的，可以放寬心。給要考試的你：

預習簡單的 Splunk 指令：log 背後都是 Splunk 組出來的表格，同時平台也提供 Splunk 搜尋功能，直接下 Splunk 指令可以彌補 log 沒辦法複雜搜尋的問題，一同考試的設備組中岑經理便表示、自己就是突然發現怎麼寫 Splunk 就解題解很快。

但另一方面，其實只有最高 300 分的那題有提示需要搜尋，你可以完全不用Splunk 就拿到第一名，所以投資報酬率很低喔~ 網路教學也不多，供參考：第55篇：日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析

準備員工編號：不記得是可以現場問人資啦

答案的命名都比較奇怪：題目沒有做命名混淆 (e.g. exp"1"orer.exe，1 假裝 L），只要奇怪名字的檔名或執行緒都可以追

先答對時間、再猜其他欄位：來自本場第一名 1,800 分的架構組斌綸建議

還是可以問 ChatGPT：丟整段 log 沒幫助，但可以解析單一句惡意語法可能在幹嘛

現場開筆記本做答題記錄：即使作答有紀錄、也可以帶入歷史回答，但作答紀錄區並沒有辦法按照題目篩選，也就是說針對同一題目的多次回答沒辦法方便的比較方式。強烈建議自己筆記。