HUNEX 2026

Kibergyakorlat — Résztvevői briefing

ÓE NIK | Prezilient | ZSTIP

2026-01-01

Bevezetés

A gyakorlat háttere

BEVEZETÉS

Egy biztonsági szolgáltató cég munkatársaként csapatod átvette a CodeTech Solutions Kft. rendszereinek felügyeletét. Az infrastruktúra a korábbi üzemeltető alatt elhanyagolt állapotba került. A gyakorlat során valós biztonsági incidenseket kell kezelned csapatban, a cél az incidenskezelési folyamatok és a csapaton belüli kommunikáció fejlesztése.

Fontos

Több incidens is történhet párhuzamosan — a csapatnak priorizálnia kell a feladatokat!

Csapatok

BEVEZETÉS

Blue Team (Ti)
Védő csapat: a CodeTech rendszereinek védelme és monitorozása
Red Team (Szimulált)
Támadó: automatizált és élő támadások az infrastruktúra ellen
White Team (Szervezők)
Döntőbíró, szabályfelügyelet, technikai support a szervezők részéről
Green Team (Szervezők)
Infrastruktúra üzemeltetés: a gyakorlati környezet karbantartása

Csapatszámod

A csapatszámod (#) az emailben kiküldött belépési adatoknál szerepel — ezt kell behelyettesíteni az URL-ekbe és az email fiókba.

Architektúra

BEVEZETÉS

Architektúra

A nap menete

Napi program

A NAP MENETE

Időszak Tevékenység
8:00–9:00 Megismerés, bejelentkezés, feltérképezés
9:00–10:00 Első incidensek észlelése és kezelése
10:00–11:30 Eszkaláció — több párhuzamos incidens
11:30–12:00 Teljes válságkezelés — hatósági, jogi, kommunikációs nyomás
12:00–13:00 Ebédszünet (opcionális — a gyakorlat folytatódik)
13:00–14:30 Utolsó fejlemények, válságkezelés folytatása
14:30–16:00 Jelentéskészítés, kvíz, helyreállítás
16:00–17:00 Értékelés és visszajelzés

Játékszabályok

Játékszabályok

JÁTÉKSZABÁLYOK

  1. Játék célja — Sérülékenységek megtalálása és támadások elhárítása

  2. IP-tiltás nem megoldás — A támadó bármikor új IP-címen jelenik meg

  3. Rendszerfrissítés — Teljes frissítés futtatása a játék gépeire nem ajánlott

  4. Tűzfal — DNS és alapportok tiltása a saját rendszert veszélyezteti

  5. Szervező infrastruktúra — A cr-#-relay, cr-#-news, cr-#-inner-relay nem módosítható. Hiba esetén → #help-desk

  6. VPN szükséges — Csatlakozva elérhető: Expo, Email, Chat, Wazuh, Nagios, Hírportál

Figyelem

Az IP-tiltás és a teljes rendszerfrissítés a saját csapat munkáját nehezítheti meg, nem a támadóét!

Szerepkörök

Szerepkörök áttekintése

SZEREPKÖRÖK

Szerepkör Fő feladat Kommunikál
Analyst Monitorozás, riasztások azonosítása, osztályozása Incidenskezelő
Incidenskezelő Technikai kivizsgálás, beavatkozás, helyreállítás Analyst, Vezető
Vezető Koordináció, priorizálás, stratégiai döntések Mindenki
Jogi GDPR, NIS2, hatósági bejelentések, jogi tanácsadás Vezető, Hatóság
Kommunikáció Email, sajtó, kvíz, belső tájékoztatás Vezető, Külső felek

Analyst

SZEREPKÖRÖK

Biztonsági monitorozás

  • Wazuh SIEM és Nagios dashboard folyamatos figyelése
  • Riasztások azonosítása és osztályozása (kritikus/magas/közepes/alacsony)
  • Gyanús események, támadói IP címek, szokatlan minták azonosítása
  • Log elemzés és bizonyítékok gyűjtése az Incidenskezelő kérésére
  • Információk továbbítása az Incidenskezelőnek

Incidenskezelő

SZEREPKÖRÖK

Technikai kivizsgálás és elhárítás

  • Analyst-től érkező riasztások részletes kivizsgálása
  • Érintett rendszerek azonosítása és elemzése (SSH, logok, registry)
  • Technikai beavatkozások: karantén, javítás, backup visszaállítás
  • Forensics: bizonyítékok rögzítése, támadási vektor azonosítása
  • Technikai report készítése a Vezetőnek

Vezető

SZEREPKÖRÖK

Koordináció és döntések

  • Csapat munkájának irányítása, incidensek priorizálása
  • Koordináció: feladatok kiosztása, információáramlás biztosítása
  • Üzleti döntések: szolgáltatás leállítás, erőforrás-allokáció
  • CSIRT jelentések elkészítése és küldése
  • Hatósági bejelentések és külső kommunikáció jóváhagyása

Döntési folyamat

Új incidens / megkeresés érkezik
Típus azonosítása
Technikai
Analyst + Incidenskezelő
Jogi
Jogi szerepkör
Kommunikációs
Kommunikáció szerepkör
Dokumentálás + CSIRT jelentés frissítése

Jogi

SZEREPKÖRÖK

Jogi és szabályozási kérdések

  • GDPR adatvédelmi hatásvizsgálat incidens esetén
  • NIS2 bejelentési kötelezettségek ellenőrzése (24 h korai figyelmeztetés + 72 h értesítés)
  • Hatósági bejelentések (NAIH/NKI) szövegezése
  • Harmadik fél (partner/vendor) szerződéses kötelezettségek felülvizsgálata
  • Jogi tanácsadás a Vezetőnek döntésekhez

Kommunikáció

SZEREPKÖRÖK

Belső és külső kommunikáció

  • Email postafiók és hírportál folyamatos figyelése
  • Sajtómegkeresések és dolgozói bejelentések kezelése
  • Kvízkérdések megválaszolása (csapattal egyeztetve)
  • Sajtóválaszok, hatósági jelentések, belső tájékoztatók

Fontos

A Kommunikáció szerepkör NEM dönthet önállóan a válaszok tartalmáról — minden külső kommunikációt a Vezetővel kell egyeztetni!

Kommunikációs csatornák

Kommunikációs folyamat

KOMMUNIKÁCIÓ

Riasztás / Bejelentés
Analyst
Incidenskezelő
Jogi
Vezető
Kommunikáció
Döntés

Alapszabályok

KOMMUNIKÁCIÓ

Szabály Leírás
Eszkaláció Minden fontos információt fel kell vinni a láncban
Dokumentálás Minden lépést és döntést rögzíteni kell — írásban (chat vagy email)
Jóváhagyás Külső kommunikáció csak vezetői jóváhagyással
Priorizálás Több incidens esetén a Vezető dönt a sorrendről
Szerepkör Maradj a saját szerepedben, csak a feladataidat végezd
Kommunikáció Oszd meg az információkat a csapattal — írásban (RocketChat) és szóban is
Kérdezz Ha bizonytalan vagy, inkább kérdezz mint hibázz
Együttműködés Ez csapatmunka, nem verseny

Email címek

KOMMUNIKÁCIÓ

Cím Leírás Irány
[email protected] Dolgozói bejelentések, IT support kérések Bejövő / Kimenő
[email protected] Sajtómegkeresések, újságírók Bejövő / Kimenő
[email protected] NAIH/NKI hatósági bejelentések Kimenő
[email protected] Külső IT partner/vendor kommunikáció Bejövő / Kimenő
[email protected] CSIRT jelentések küldése Kimenő
#help-desk (RocketChat) Technikai probléma, segítségkérés Bejövő / Kimenő

CSIRT jelentés sablon

KOMMUNIKÁCIÓ

Küldd: [email protected] · Tárgy: Biztonsági incidens bejelentés

Mező Leírás
Incidens azonosító CT-ÉÉÉÉ-HH-NN-XXX
Típus Adatszivárgás / Malware / Weboldal feltörés / Egyéb
Súlyossági szint Kritikus / Magas / Közepes / Alacsony
Észlelés időpontja ÉÉÉÉ-HH-NN ÓÓ:PP
Érintett rendszerek Rendszer neve, IP, hostname
IoC lista Gyanús IP-k, domain-ek, fájl hash-ek
Leírás Mi történt? Hogyan észleltük?
Intézkedések Megtett lépések felsorolása
Hatás Személyes adatok érintettek? Üzleti hatás?
Jogi értékelés GDPR 72h / NIS2 24h+72h bejelentés?
Státusz Nyitott / Vizsgálat alatt / Kezelt / Lezárt
Következő lépések Tervezett intézkedések, felelős, határidő
Kapcsolattartó Név, szerepkör, elérhetőség

Eszközök

Eszközök áttekintése

ESZKÖZÖK

Eszköz Funkció URL
Expo Credentials, Quiz, Scoring https://expo.cyberrange.hu/
Email Csapat levelezés https://mail.cyberrange.hu/
RocketChat Csapat belső kommunikáció https://chat.cyberrange.hu/
Wazuh SIEM, riasztások, logok https://wazuh-cr#.cyberrange.hu/
Nagios Infrastruktúra monitoring Elérés az Expo-ban
VPN Gyakorlati platformok elérése Emailben kiküldve

Expo — Credentials

ESZKÖZÖK

Bejelentkezési adatok

  • Credentials: Bejelentkezési adatok minden rendszerhez és végponthoz
  • A felület csak nyomon követésre szolgál — jelszóváltoztatást manuálisan kell elvégezni minden végponton
expo.cyberrange.hu

ESZKÖZÖK Authentik SSO — Egységes bejelentkezés

Expo — Quiz & Scoring

ESZKÖZÖK

Quiz és értékelés

  • Kvíz: A gyakorlat kérdései — a válaszokat a csapat közösen adja meg
  • Pontokkal, kvízkérdésekkel kapcsolatos problémák esetén jelezzétek a #help-desk csatornán
  • Ne osszátok meg a kvíz válaszokat más csapatokkal!
  • Scoring: A csapat aktuális pontszáma és előrehaladása
expo.cyberrange.hu

ESZKÖZÖK Expo — Főoldal és feladatok

ESZKÖZÖK Expo — Hitelesítő adatok

ESZKÖZÖK Expo — Kvízek és eredménytábla

Email

ESZKÖZÖK

Webmail felület

  • Webmail felület a csapat kommunikációjához
  • Ezen a fiókon keresztül érkeznek a dolgozói bejelentések és sajtómegkeresések
  • Innen küldhetők a válaszok és CSIRT jelentések
  • Elsődlegesen a Kommunikáció szerepkör kezeli, de bárki hozzáférhet
cr-#[email protected] (# = csapatszám)
mail.cyberrange.hu

ESZKÖZÖK E-mail — Mailcow webmail

RocketChat

ESZKÖZÖK

Belső kommunikáció

  • Csapat csatorna: Minden csapatnak saját csatornája van a belső koordinációhoz
  • #announcement: A szervezők fontos bejelentéseit itt teszik közzé — érdemes figyelni!
  • #help-desk: Technikai problémák jelzése, segítségkérés
  • Az azonosított IoC-kat osszátok meg a csapat csatornán
chat.cyberrange.hu

ESZKÖZÖK RocketChat — Csapatkommunikáció

Wazuh — SIEM áttekintés

ESZKÖZÖK

Biztonsági események központja

Security Information and Event Management rendszer — a biztonsági események, riasztások és sérülékenységek kezelésének központi platformja.

  • Dashboard: Riasztások áttekintése, súlyosság szerinti szűrés (Critical, High, Medium, Low)
  • Modulok: IT Hygiene, Vulnerability Detection, Discover (lognézegető)
  • Agents: Monitorozott végpontok állapota és adatszolgáltatása
wazuh-cr#.cyberrange.hu

(# = csapatszám, az Expo Credentials-ben)

Wazuh — IT Hygiene

ESZKÖZÖK

Rendszerállapot és leltár

  • Dashboard: Rendszerek áttekintése — operációs rendszerek, hardver, hálózati interfészek
  • Software: Telepített csomagok és verziók listája az ügynökökön
  • Processes: Futó folyamatok monitorozása és áttekintése
  • Network: Hálózati interfészek állapota, forgalom, csomagvesztés

ESZKÖZÖK Wazuh — IT Hygiene dashboard

Wazuh — Sérülékenységek

ESZKÖZÖK

Vulnerability Detection

  • Dashboard: Sérülékenységek súlyosság szerinti megoszlása (Critical, High, Medium, Low)
  • Inventory: CVE lista — sérülékenység azonosító, érintett csomag, súlyossági pontszám
  • Events: Sérülékenység-detekciós események részletes naplója
  • Segítségével azonosíthatók a javítandó szoftververziók és a leginkább veszélyeztetett végpontok

ESZKÖZÖK Wazuh — Sérülékenység-kezelés

Wazuh — Discover

ESZKÖZÖK

Lognézegető és keresés

  • Discover: Nyers események böngészése és szűrése valós időben
  • Keresés: DQL (Dashboard Query Language) szintaxissal, pl.:
    • rule.level >= 10 AND rule.description: "authentication" — sikertelen bejelentkezések
    • rule.groups: "syscheck" — fájlrendszer-változások
  • Időszűrés: Gyors szűrők (15 perc, 1 óra, 24 óra, 7 nap)
  • Hasznos a támadási minták és IoC-k azonosításához

ESZKÖZÖK Wazuh — Discover keresés

Nagios

ESZKÖZÖK

Infrastruktúra monitoring

Infrastruktúra monitoring rendszer — a szerverek és szolgáltatások állapotának figyelése. Az Expo felületen keresztül érhető el.

  • Host status: Melyik szerverek és végpontok érhetők el, melyek nem
  • Service status: Webszolgáltatások, adatbázisok, hálózati szolgáltatások állapota
  • Riasztások: Küszöbértékek túllépésekor figyelmeztetések jelennek meg
  • E-mail riasztások: Ha egy monitorozott eszköz elérhetetlenné válik, automatikus e-mail értesítés érkezik

VPN

ESZKÖZÖK

Hálózati kapcsolat

  • A VPN-kapcsolat szükséges a gyakorlat platformjainak eléréséhez
  • A VPN-re csatlakozva válnak elérhetővé: Expo, Email, RocketChat, Wazuh, Nagios, OPNsense, Hírportál
  • A csatlakozási adatokat előzetesen emailben küldjük ki
  • A NetBird kliens telepítése után az Advanced Settings-ben állítsd be a Management URL-t: https://vpn.prezilient.com:443
  • Bejelentkezéshez keresd a ‘Login with Authentik’ opciót
vpn.prezilient.com
auth.prezilient.com

ESZKÖZÖK NetBird VPN — Telepítés és csatlakozás

OPNsense

ESZKÖZÖK

Tűzfal kezelés

  • Hálózati forgalom valós idejű monitorozása
  • Dashboard: Forgalom áttekintése, aktív szabályok
  • Szabályok: Tűzfal szabályok megtekintése és módosítása
  • Interfészek állapota és konfigurációja
IP-cím az Expo → Credentials oldalon

ESZKÖZÖK OPNsense — Tűzfal irányítópult

ESZKÖZÖK OPNsense — Szabályok és interfészek

Hírportál

ESZKÖZÖK

Forgatókönyv események

  • A hírportálon a forgatókönyv eseményei jelennek meg valós időben
  • Érdemes rendszeresen figyelni — fontos információkat tartalmazhat
  • A megjelenő hírek hatással lehetnek az incidenskezelésre
news.cyberrange.hu

ESZKÖZÖK Hírportál — Forgatókönyv eseményei

Gyors referencia

Gyors referencia

GYORS REFERENCIA

Incidensek

Riasztás a Wazuh-ban
Súlyosság értékelése, alapinfók gyűjtése (IP, időpont, rendszer), továbbítás az Incidenskezelőnek
Dolgozói bejelentés
Rögzítsd a bejelentést, továbbítsd az Incidenskezelőnek, tartsd a kapcsolatot
Személyes adatok sérülése
Értesítsd a Jogi szerepkört, 72 órás bejelentési határidő! Dokumentáld az érintett adatköröket.

Kommunikáció

Sajtómegkeresés
NE válaszolj azonnal! Továbbítsd a Vezetőnek, várd meg a jóváhagyott választ
Bizonytalan döntés
Konzultálj a feletteseddel, dokumentáld a bizonytalanságot
Technikai probléma
Jelezd a #help-desk csatornán a RocketChat-en

Összefoglalás

Első teendők a gyakorlat előtt

ÖSSZEFOGLALÁS

  1. Ellenőrizd a VPN kapcsolatot — NetBird „Connected” státusz
  2. Jelentkezz be az Expo platformra — https://expo.cyberrange.hu/
  3. Nézd meg a hitelesítő adatokat — Expo → Credentials
  4. Csatlakozz a RocketChat-re — https://chat.cyberrange.hu/
  5. Nyisd meg az e-mail fiókodat — https://mail.cyberrange.hu/
  6. A csapatvezetőddel egyeztess a szerepkörökről

Sikeres gyakorlatot kívánunk!

Kérdések?#help-desk (RocketChat)