表記の勉強会に参加してきました。
https://vatkobe.connpass.com/event/103205/
1ヵ月前にあった紫秋のうち、OSSEC部分を切り出して勉強会化したというものです。


10月8日、10月9日と2回に分けてKaliラズパイのことを書いたのは、これの対策でした。
Kaliの環境は作成できたものの、教材のVMに接続させることがどうしてもできず。
明け方まで粘ってはみたものの、最終的には不可っぽいことが判明し力尽きました・・・。
結局、環境はメモリ割り当て
「やられサーバ：2GB弱」「Kali：768MB」
というVM2つで臨みました。
まあ、ポータブル攻撃ツールを作ることができたということで、
それはそれでいいことにしましょう。


内容は前半と後半の2部構成で、こんな感じに進んでいきました。
[前半：攻撃方法の確認]
やられサーバ内のフラグを探す。以下のツールを使用。
nmap,nikto,wpscan,dirb,msf


[後半：OSSECによる攻撃の検知]
OSSECていうかWAZUHを使って、前半でやった攻撃が検知できることを確認する。
要タイムゾーン設定。
WAZUHの設定ファイルに監視したいログファイルを記載すると、検知できるようになる。
課題としてApacheログの監視があったのですが、自分の環境では
Apacheログがローテートされたのか、ファイル名が変わってしまっており、
それに気づけず検知が動くまで手こずりました。
OSSの侵入検知ツールなので、実運用で使うには難しそう
（内製でサービス開発・運用やってるところなら問題ないんだろうけど）。
で、WAZUHの読み方はワーズでファイナルアンサー？


グループワークで分業していた紫秋と違って、
今回は不明な点は周りの方の助言を受けながらのピン作業。
改めて通してみると、こういうことをやっていたんですね。
パーツパーツだった内容がやっとつながりました。
これ、復習しないと。