CDRGoat — クラウド検出&対応(Cloud Detection & Response)演習フレームワーク

Security
CDRGoat — クラウド検出&対応(Cloud Detection & Response)演習フレームワーク

CDRGoat — クラウド検出&対応(Cloud Detection & Response)演習フレームワーク

Cloud Detection & Response GOAT(cdrgoat)は、意図的に脆弱化されたクラウド演習フレームワークです。シナリオ駆動で現実的なクラウド攻撃チェーン(設定ミス、過剰権限、ランタイムの盲点など)を再現し、検出パイプラインの検証、SOCワークフローの練習、アナリスト訓練を安全かつ再現可能に行えることを目的としています。プロダクションに影響を与えず学習・評価が可能です。

https://github.com/stream-sec/cdrgoat

概要

Cloud Detection & Response GOAT(cdrgoat)は、守備側(Defender)が検出ロジックやSOC(Security Operations Center)プロセスを実践的に検証・訓練できる、シナリオ駆動の演習フレームワークです。クラウド環境における「設定ミス」「過剰な権限付与」「ランタイムの監視ギャップ」といった一般的な攻撃経路を意図的に含むリソース群を提供し、ログやテレメトリを生成して検出ルールや対応手順の有効性を評価します。安全に再現可能で、実際のプロダクション環境に影響を与えず学習できる点が特徴です。

GitHub

リポジトリの統計情報

  • スター数: 11
  • フォーク数: 0
  • ウォッチャー数: 11
  • コミット数: 3
  • ファイル数: 5
  • メインの言語: Shell

主な特徴

  • シナリオ駆動: 現実に即した攻撃チェーンを模した演習シナリオを提供。
  • 安全で再現可能: プロダクションに影響を与えない環境で検証・訓練可能。
  • 検出パイプライン検証: テレメトリを生成してSIEMや検出ルールの有効性を確認。
  • SOC演習向け: アラート解析やインシデント対応手順の訓練に最適。

技術的なポイント

cdrgoatは「守る側の実務」を想定した練習場を提供する点で実用的です。リポジトリ内にAWS関連のディレクトリが含まれていることから、AWSリソースを利用した演習シナリオ(IAM権限の誤設定、ログの生成・欠落、サービス連携での悪用パスなど)を想定していることがわかります。メイン言語がShellであるため、環境のデプロイやシナリオの開始・停止にはスクリプトベースの操作が用意されている可能性が高く、IaC(Infrastructure as Code)やクラウドCLIと組み合わせて自動化できる設計になっていると推測されます。

実務上の利用では、cdrgoatで生成されるログやイベントをSIEM(例: Splunk、Elastic、クラウドネイティブなログサービス)に取り込み、既存の検出ルールやアナリストのプレイブックを検証します。脆弱な構成や権限エスカレーションのシナリオは、検出ギャップ(例: ログが生成されない、アラートが閾値に達しない)を浮き彫りにするため、検出ルールのチューニングやテレメトリ取得ポリシーの見直しに直結します。また、演習中に発生するアラートを使ってSOCの対応フローを実践し、エスカレーション手順やフォレンジック収集の標準化が図れます。

リポジトリ自体はコンパクトで、最初の導入は軽量に済む一方、機能拡張やシナリオ追加がしやすい構成になっています。コミュニティや運用チームが独自のシナリオ(特定のクラウドサービスや組織固有の脅威モデルを模したもの)を追加していくことで、学習効果を高められます。導入時は必ず隔離された検証アカウントや専用のAWS環境を使用し、アカウント権限やコスト管理に注意することが推奨されます。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .gitignore: file
  • AWS: dir
  • LICENSE: file
  • README.md: file
  • assets: dir

※ AWSディレクトリにはデプロイ関連のスクリプトやテンプレートが収められている可能性があり、assetsには図やスクリーンショット(README表示用の画像など)が含まれています。

使い方(運用上のヒント)

  • 初期導入は専用検証アカウントで実行し、コストと権限を管理する。
  • SIEMやログ集約基盤に接続して、生成されるイベントを可視化する。
  • アナリスト向けのプレイブックに沿って演習を実施し、対応時間や手順の課題を洗い出す。
  • シナリオをカスタマイズして、自組織のクラウド構成や脅威モデルに合わせた練習を行う。
  • 定期的に演習を回して検出ルールやテレメトリの回帰テストに活用する。

まとめ

実践的なクラウド攻撃経路を安全に再現し、検出と対応力を高めるための良い出発点です。

リポジトリ情報:

  • 名前: cdrgoat
  • 説明: Cloud Detection & Response GOAT is a scenario-driven, intentionally vulnerable framework designed to help defenders validate detection pipelines, practice SOC workflows and train analysts on realistic cloud attack paths - all in a safe, reproducible environment with no impact on production.
  • スター数: 11
  • 言語: Shell
  • URL: https://github.com/stream-sec/cdrgoat
  • オーナー: stream-sec
  • アバター: https://avatars.githubusercontent.com/u/233028163?v=4

READMEの抜粋: CDRGoat

Cloud adoption has reshaped the enterprise attack surface, where adversaries can chain misconfigurations, excessive permissions, and runtime blind spots into full compromises.
Cloud Detection & Response GOAT is a scenario-driven, intentionally vulnerable framework designed to help defenders validate detection pipelines, practice SOC workflows and train analysts on realistic cloud attack paths - all in a safe, reproducible environment with no impact on pro…