NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
SIEM with Tactical Analytics
※2021年7月のイベントでの本コースは開催中止となりました。
次回の開催をお待ちください。
Blue Team Operations
English次回の開催をお待ちください。
1日目~5日目 9:00~19:00
6日目 9:00~17:00
オンライン
840,000円(税込 924,000円)
※上記試験費用は講義と同時お申し込み時のみ有効です。講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(10,000円(税込 11,000円))が発生します。また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
本コースは、講義と演習を行います。ラボセッションでは、インストラクターが提示する環境を使って、コース全体を通して習得した知識を駆使して実践的に学んでいただきます。受講生ご自身にツールをインストールして設定を行っていただき、実際に使用することで、今まで学んできた技術を演習によって確認することができます。
重要:以下の環境のノートPCをご持参下さい。
演習を円滑に進めていただくため、受講生の方はシステムを事前に適切な状態にしていただく必要があります。コースが始まる前までに、以下の説明に目を通して設定変更などを済ませてからお持ちください。
お持ちになるPC(WindowsやMacOSX、あるいはLinuxは問いません)には、64ビットOSが動作し、仮想化ソフトウエアのVMwareのインストール済みでなければなりません。また、VMの機能を十分に活用できるようにするため、実装メモリは8GB以上を搭載したものをご用意ください。 特に注意いただきたいのは、演習で使用するVMが64ビットOSであるため、お持ちいただくノートPCも64ビット環境でなければなりません。具体的には、搭載されているCPUも64ビット、動作するホストOSも64ビットにそれぞれ対応していなければならないということです。そのためには、BIOSやUEFIでAMD-VやIntelVT-xなどの仮想化機能を有効化するだけではなく、関連するオプションも有効化しなければなりません。
本コースに参加されるにあたって、VMware Workstation 15.5やVMware Fusion 11.5 あるいはVMware Workstation Player 15.5 よりも新しいバージョンをダウンロードして、インストールまで済ませていただく必要があります。VMware WorkstationやFusionについては、VMwareから30日間のトライアルライセンスを発行してもらうことができます。トライアルライセンスは、VMwareのサイトから登録すると、トライアルライセンスのシリアルキーが電子メールで送られますので、期間中は大切に保管してください。
多くの組織ではログ収集を実践していますが、残念ながら収集したログの分析を行う人的リソースとプロセスが不足しているケースが散見されます。さらに、様々な箇所から非常に大量のログを収集するため、適切な分析を行うにはその収集元デバイスの役割や特徴を理解しておく必要があることが、更に状況を難しくしていると言えるでしょう。本コースでは、個々人に対するトレーニングはもちろん、方法論や既存のログ解析ソリューションの強化プロセスをカバーすると共に、ログに含まれる「いつ」、「何が」、「どうして」を把握するプロセスへの理解を深めていきます。ハンズオンではSANSがスポンサーをしている無償のSIEM、「SOF-ELK」を使用して進めてゆき、実経験と大規模なデータ分析を行ううえでの考え方を習得していきます。
昨今のセキュリティ運用は「ビッグデータに」翻弄されるというよりも、むしろデータ分析をどう実施し、活用していくかが問題としてあげられるでしょう。膨大なデータを考える時、その収集した情報の内容を深く理解することに重点を置かず、複数の方法で保存と処理が行われていることを問題視する必要があるにも関わらずです。永遠とも思えるシステムの一覧や収集したログの海に溺れ、やる気を失わせる要素はいくらでもあります。この講義では、従来までの節操の無いログ収集システムから効果的運用が可能な戦略的SOCを構築するために必要な知識を提供します。
本コースは、SIEMのアーキテクチャーやプロセスを段階的に解説し、最終的にSOCを構築することを目標に設計されており、ご紹介する教材は、「適切」にSIEMプラットフォームを使用することで、膨大なログデータのなかから即座に有益な情報を抽出することが可能な内容になっています。例えば、受講生は収集されたインプット情報を、相関分析にかけることによって、有効で意味のある状態に仕立てる方法を学びます。受講生は繰り返しログ情報やイベントという鍵となる要素を分析することで、その情報の有効性を把握し、相関分析の方法を理解し、収集した複数の情報を基にした調査分析を行い、最終的に知り得た情報を使った有益だと考えられる情報の特定を行います。また、内部侵入後のおとりとなるトラップの設置方法を学習することで、洗練された侵入も素早く検知することが可能になります。コース全体を通して、受講生が現場に戻った際に活用可能な実践力を習得するために、テキストやラボの紹介に留まらず、実際に手を動かしながら操作を行うことで、紹介されているプロセスの多くを自動化する方法も同時に学習します。
基本となるテーマは、現代的なサイバー攻撃手法を駆使して、Continuous Monitoring(継続的な監視)と解析テクニックを能動的に行うことです。これを実現するため、予めキャプチャーされた攻撃サンプルデータを、ラボで再現することで実際の攻撃を体験することが可能になっているのです。
本コースを受講することで受講生は以下の準備が整うことになります。
SIEMに対してのカスタムスクリプトの記述と統合について学習します。
今日、セキュリティ業務は「ビッグデータ」の問題ではなく「データ分析」の問題に悩まされています。現実を直視してみましょう。大量のデータを保存し、処理する方法は複数ありますが、収集した情報に対する考察を得ることには何の重点も置いていません。それに加えて、ログを収集できるシステムのリストが無限に存在し、データが飽和する危険性に迷いがちになります。このクラスでは、典型的に混ざり合った混沌としたログシステムから、実用的なインテリジェンスを実現し、戦術的なセキュリティ・オペレーション・センター(SOC)を開発するための切り替えを行います。- Justin Henderson
ロギングと分析は、サイバーネットワークの防御において重要な要素であり、敵対的な活動をリアクティブにもプロアクティブにも検知することができます。適切に活用すれば、俊敏な検知のためのバックボーンとなり、環境全体を把握することができます。ロギングや分析の製品や技術は古くからありますが、急速に機能が増えてきています。このセクションでは、無料のロギング・分析ツールを紹介し、従来のログを理解し、補強するための技術に焦点を当てます。また、何十億ものログを扱うビッグデータ問題への対処法や、フリーのツールの進化が、市販のソリューションに勝るとも劣らないものになりつつあることについても取り上げます。
初日は、すべての受講生がSIEMのコンセプトを理解し、残りのクラスを乗り切るための知識レベルを身につけることを目的としています。また、SIEMのベスト・プラクティスをカバーするように設計されています。SOF-ELK(Phil Hagen氏とJustin Henderson氏が共同で管理するVM)のElasticsearch、Logstash、Kibanaを説明し、ラボにおいてログデータの取り込み、操作、レポート作成を快適に行えるようにします。
大多数のネットワーク通信は、一般的なネットワークプロトコル上で発生していますが、半面、組織ではあまりにも一般的なため圧倒的な分量になるプロトコルのログを使用したり、収集したりすることは一般的ではありません。しかしこれらの情報ソースは、現代の攻撃の糸口を発見するための重要な情報源であることは認識する必要があります。
この章では、どのように膨大な分量のログを収集して取り扱うかを解説していきます。ひとつの例としてDNSサーバなどのサービスログからこれらのログを収集するための方法に関して解説すると共に、ネットワークそのものから受動的に同じデータを採取する方法についても解説します。収集したデータを増大し、意味のあるものにするためのテクニックについてもデモでご覧頂きます。
最終的には分析の原点である、まるで砂漠の中で落し物を探すような困難を打開するようなときに役立つ原理を解説します。たとえ膨大な分量のログを検索することに問題を抱えていても、分析原理により私たちが探している意味のある対象のみを表面化させることが可能になります。そのためにはダッシュボードを活用することで、意味のあるログを素早く見つけるようにするだけではなく、次に取るべきアクションと共に分析結果を導き出せるようにしておかなければなりません。
エンドポイントログの価値は、非常に有益な情報を提供し、攻撃検知を行う上で何物にも変えがたいほど重要なものです。しかしたった一台のデスクトップ端末でさえ日に10万件以上のイベントが発生するものです。これを実際の環境に当てはめた場合、組織がログ分析の業務負荷に圧倒されてしまうのもの無理はないはずです。
この章では、システムログを収集するうえでの方法と、その理由について解説します。数々のログ収集方法とツールは、ハンズオンによって経験値を上げることに役立つと共に、サーバやワークステーションから無限に生成されるデータを、ハンドリングとフィルタリングによってシンプルな形にすることができるようになります。
現代の攻撃ベクターを知ることは非常に重要なため、ワークステーションにおけるログ施策については特に深く解説していきます。何故なら、現代の攻撃はワークステーションから始まり、そこから拡散されていくと言われているからです。
コンテナ
己を知ることが時として防御戦略の最大の鍵になりますが、これを達成するのは容易なことではありません。資産を棚卸し、組織が所有するものとそうでないものを台帳として保持することなどは困難な事柄の代表です。タスク自体は簡単ですが、日々発展するネットワーク環境に追随する形で台帳の保守を行うことは非常に難しいことになっています。
この章では、自動的に資産台帳とそれらの設定の整備、またそれらの資産が承認か未承認かを区別する方法およびテクニックについて説明します。実態に極めて近い忠実度のデータを提供するポイントについて解説するとともに、複数のデータソースから相関性を維持しつつ統合するテクニックを用いることで、最終的にマスターとなる棚卸し台帳の作成を行います。
適用するネットワークと、システムの基本テクニックに関するハンズオン経験を積むことは、もうひとつの己を知る方法です。ネットワーク通信の監視を行うことで、例えばC2ビーコンやユーザによる異常な振る舞いを特定することが可能になります。
最終的には、膨大な分量のエンドポイントデータを取捨選択をするために、大容量データの分析テクニックを適用していきます。このテクニックを活用することで、持続フェーズで使われるメカニズムやデュアルホームデバイスなどの検出に役立てることができるでしょう。
ネットワーク上には、複数のセキュリティデバイスが存在していますが、それらを個別に設置しているケースがよく見られます。アナリストは、専門分野毎に分割される傾向にあり、IDSの専門家はIDSを得意とするように特定の分野にフォーカスしています。しかし、単一のセキュリティデバイスからのアラートのみでは、事象の詳細が分かりにくく、似通った情報により真実が見えにくくなるケースが多くあるのです。
この章では、複数のセキュリティログを組合わせることで実現する統合分析に焦点を置き、アナリストにとってより有益な情報を提供するために、複数ソースを組合わせる方法を解説していきます。また、分析の結果と併せて資産情報も提供しようとした場合に、アナリストの分析時間を優先することが、組織にとってどれだけ貢献できるのかについても解説します。
セキュリティアラートの最適化の方法を学んだ後は、仮想的な罠を導入してログを取得する新しい方法の習得へと進んでいきます。当然のことですが、攻撃者によるネットワークへの侵入を防御できるケースもありますが、残念ながらそれは永続的ではなく、いずれ侵入を許してしまいます。また、侵入そのものはその後に起きる事象の始まりにしか過ぎません。敵はゴールに近づくために、システムとネットワークをくまなく徘徊します。この習性を逆手に取り、対策としてログ収集型のtripwire(仕掛け)を導入することで、素早く攻撃者や攻撃の検知と対応が可能になるのです。
コースの仕上げはチームに分かれてデザイン、検知、防御のレベルを競うCTF競技です。最終日はこれまでに習得した原理原則を存分に発揮して、さらなる理解を得るためにNetWarsを利用したハンズオンとしています。
講義の中で共有してきた最新のサイバーディフェンステクニックを十分に理解し、習得出来るようにデザインされたCTFで、複数のレベルとミッションをチーム単位で遂行することで、参加者はさらに進歩することができるでしょう。