はじめに
今回は、Elastic Certified SIEM Analyst のトレーニングコースの Lab 環境について、その特徴と具体的な操作方法を紹介します。
(Elastic Certified SIEM Analyst の Lab 環境は、従来のトレーニングコースの Lab 環境とは操作方法が異なりますので、ご注意ください。)
対象読者
- Elastic Certified SIEM Analyst のトレーニングコースの受講を検討している方
- Elastic Certified SIEM Analyst のトレーニングコースの受講を始めたばかりで、Lab 環境の操作に戸惑っている方
Elastic 認定試験
これまで Elastic に関する認定試験には3種類の試験がありました。
- Elastic Certified Engineer
- Elastic Certified Analyst
- Elastic Certified Observability Engineer
ここに、先日、Elastic Certified SIEM Analyst が追加されました。
Elastic Security for SIEM のトレーニングコース
Elastic Certified SIEM Analyst の認定試験のためのトレーニングとして、「Elastic Security for SIEM」トレーニングコースも追加されました。
Elastic Security for SIEM のトレーニングコースには、Virtual と On-Demand の2つの形式が用意されています。On-Demand コースは、プロモーションとして2025年10月31日まで無償で受講できます。
On-Demand コースの中には実際に Elastic の画面を操作して体験できる Lab 環境が用意されています。しかし、この Elastic Security for SIEM のコースが比較的新しいためか、これまでのトレーニングコースの Lab 環境とは操作方法が少し異なります。
トレーニング用 Kibana 画面へのアクセス方法
Lab 環境の開始
Elastic Security for SIEM のトレーニングコースを開始して進めていくと、次のような画面が表示されます。
ここまでは、従来のトレーニングコースと同じく、[LAB] をクリックします。
lab-machine の bash 画面とURLの確認
さきほどの [LAB] をクリックすると、次のような画面が表示されます。
ここが従来のトレーニングコースとは異なる点です。従来は、[Terminal] や [Editor] の隣に [Kibana] などが用意されていましたが、このコースでは Lab 環境の URL が表示されます(赤枠部分)。このURLを必ずコピーしておきましょう。
CREDENTIALS の取得
bash 画面から次のコマンドを実行してください。
cat CREDENTIALSすると、CREDENTIALS の内容が表示されます。
この内容もコピーしておいてください。Kibana へのログイン時に必要となります。
Lab 環境のURLへアクセス
先ほどコピーした URL を、Web ブラウザの新しいタブに入力しアクセスします。
接続に成功すると、次の画面が表示されます。
ここで Kibana をクリックします。
Kibana 画面へのログイン
Kibana のログイン画面が表示されます。
ここに、先ほどコピーした CREDENTIALS の内容を入力します。
- Username: elastic
- Password: “…” で囲まれて表示された内容
Kibana の Home 画面の表示
ログインに成功すると、Kibana の Home 画面が表示されます。
※注意点 Elastic Security for SIEM のトレーニングの Lab 画面を表示していない状態で、URL に直接アクセスしてログインしようとしても、この画面は表示されません。必ず Elastic Security for SIEM のトレーニングの Lab 画面を表示している状態でアクセスしてください。
演習問題の表示
Elastic Security for SIEM には演習問題が用意されています。その演習問題の表示方法もこれまでのトレーニングコースとは異なり、”CTFd”というプラットフォームを利用して、演習問題の表示や回答の入力を行います。
CTFd の URL の取得
lab-machine の bash を表示している画面の左上から [CTFd] を選択します。
すると、画面が CTFd の bash に切り替わります。
ここの URL をコピーしておきましょう(赤枠部分)。
CTFd へのアクセス
先ほどコピーした URL をWebブラウザの新しいタブへ入力し、アクセスします。
成功すると、以下の画面が表示されます。
初回登録手順
初回アクセス時は、上記の画面の Register をクリックし、初回登録画面へ進みます。
必要事項を入力して [Submit] をクリックして、登録を完了させます。
ログイン(2回目以降)
2回目以降は、Login をクリックしてログイン画面へ進みます。
必要事項を入力して、[Submit] をクリックします。
CTFd のトップメニュー
ログインに成功すると、Challenge の一覧が表示されますが、この時点ではまだ Challenge ボタンは操作しないでおきましょう。
演習問題の表示
さきほどの上部のメニュー内の Lab Guide をクリックすると、演習問題の一覧が表示されます。
この画面内のリンクをクリックすると、さらに詳細画面へ遷移し、具体的な演習内容が表示されます。
Challenge 一覧画面
上部のメニューの Challenges をクリックすると、Challenge の一覧画面に戻ります。
ここから、各演習問題の回答を入力していきますが、最初は、ロックされていて回答を入力することはできません。
回答入力画面のロック解除
例として、3.1 のボタンをクリックしてみます。
キーの入力欄が表示され、正しいキーを入力しないと、ロックが解除されません。
このキーは、Elastic Security for SIEM のテキスト内に記載されています。3.1 のキーは、3.1 章のテキストの終わり頃に記載されています。記載されているキーを入力して、[Submit] をクリックします。
正しいキーを入力すると、上記のように、3.1 の中の各回答入力用ボタンが表示されます。
回答入力画面
例として、3.1 の 1 のボタンをクリックしてみます。
問題の内容と、回答入力欄が表示されます。回答を入力して [Submit] を押すと、回答の正誤が判定され採点されるものと思われます(筆者も、まだそこまで進んでいません)。
Windows-Endpoint
Windows-Endpoint
Lab 環境には Windows Endpoint が含まれています。Lab 環境内の Windows Endpoint を開くには、lab-machine の bash を表示している画面の左上から [Windows-Endpoint] を選択します。
Windows Endpoint 画面が表示されます。
Windows 環境へのコピー&ペースト
前述の操作で、Windows 環境が表示されるのですが、デフォルトの状態では Windows 環境へのコピー&ペーストができません。
(指示の一部には、Kibanaの操作画面からコマンドをコピーして、それをペーストするよう指示されているものがあります。)
※注意事項 操作には、Chrome を使用してください。他のWebブラウザでは確認できていません。
Windows 環境へコピー&ペーストできるようにします。
Windows-Endpoint の右側に歯車アイコンがありますが、さらにその右にクリップボードのアイコンがあります。これをクリックします。すると Lab クリップボードの画面が開きます。
この Lab クリップボードを経由して、コマンドなどを張り付けるのですが、そのままでは操作できません。
右下の Learn how をクリックします。すると次のダイアログが表示されます。
上部の Open Chrome’s clipboard permission dialog をクリックします。
すると、次のポップアップが表示されます。
ここで、[許可する] をクリックしてください。
(※要は、app.strigo.io からのクリップボードへのアクセスを許可する必要があります。)
これで、Kibanaの操作画面 → Lab クリップボード → Windows内のPowershell のように、Lab クリップボードを経由することで、コピー&ペーストができるようになります。
まとめ
Elastic Security for SIEM のトレーニングコースの Lab 環境の雰囲気や、おおよその操作方法を理解していただけたでしょうか。
繰り返しになりますが、On-Demand コースは、2025年10月31日まで無料で受講できますので、この機会に受講を検討してみてはいかがでしょうか?
