FOR500: Windows Forensic Analysisがアップデートされました。
今回のアップデートにより、幅広いフォレンジックアーティファクトにおいて、調査員の能力が向上しました。ほぼすべての実習ラボが改善されました。最新のツールのアップデートを利用するために、多くのラボのアップデートが必要であり、新しいコースの仮想マシンは、仕事に利用可能な最高のツールの最新バージョンを含むように更新されました。アップグレードされたコース教材などを実践するために、新しいEメールラボが含まれました。アップデートの詳細はこちら。
守るものについて知らなければ、何も守ることはできない
(You can't protect what you don't know about)
Windowsフォレンジックをマスターする時がきました。
今日すべての組織において、襲いかかるサイバー犯罪への準備をする必要があります。詐欺、インサイダー、産業スパイ、内部不正、不正侵入に立ち向かうアナリストの必要性は今までは高くありませんでした。しかし近年、官公庁は、メディアエクスプロイテーションスペシャリスト(Windowsシステムから重要なインテリジェンスを復元・抽出できる人物)の養成を強く要望するようになりました。SANSはこの要望に応えるため、システムで何が起こったのかを秒単位で把握することができるように、これからもっとも優れたフォレンジックプロフェッショナル、インシデントレスポンダ―、メディアエクスプロイテーションマスターになる新しい幹部たちに対して世界中でトレーニングを実施しています。
FOR500: Windows Forensic Analysisは、Windows OSに対するより深いフォレンジックスキル構築に焦点をあてたコースです。「守るものについて知らなければ、何も守ることはできない」という考え方があります。フォレンジックで出来ることやアーティファクトについて理解することは、今やサイバーセキュリティの必須事項といえるでしょう。このコースで、Windowsシステムでのデータ復旧、分析、検証方法を学んでいきましょう。ネットワーク上のユーザーの行動を詳細に追跡する方法を学習し、インシデントレスポンス、内部不正調査、民事/刑事訴訟において、どう見つかった証拠を整理していけばよいか理解しましょう。あなたがこのコースで身に付ける新しいスキルを存分に活用し、セキュリティツールの検証、脆弱性検査の強化、インサイダーの摘発、ハッカーの追跡、セキュリティポリシーの向上に役立てましょう。Windowsは知らず知らずのうちに、想像を絶するほどの大量なデータを溜め込んでいます。FOR500は、この大量な鉱山ともいえるデータから証拠を発掘する方法を教えます。
正確な分析方法を学ぶには、受講生たちに実際のデータを調べて貰う必要があるでしょう。この継続的に更新されるコースは、Microsoft Windowsバージョン10と11、OfficeとMicrosoft 365、Google Workspace(G Suite)、クラウドストレージプロバイダ、Microsoft Teams、SharePoint、Exchange、Outlookなどの最新テクノロジーで見つかった証拠を取り入れた一連の実習を通してデジタルフォレンジック分析者を養成します。これによりトレーニングを終えた受講生たちは、コースで使用した最新のツール・手法を用いて、直面するであろう複雑なシステムであっても立ち向かうことができます。このコースでは、レガシーシステムであるWindows 7から最新のWindows 11アーティファクトの分析まで余すところなく学べます。
FOR500は、知的財産の窃盗と企業スパイのケースを6ヶ月以上かけて作成することから始まります。実社会で仕事をするのですから、トレーニングには実際の実践データを含めるべきです。インストラクターのコース開発チームは、実際の捜査に没頭できるよう、自らの捜査経験で発生した事件をもとに、驚くほど豊富で詳細なシナリオを作成しました。ケース例では、調査員が企業内の Windows システムを分析する際に遭遇する可能性のある最新の成果物やテクノロジーを示しています。詳細なワークブックでは、すべての調査員がフォレンジックケースを解決するために採用すべきツールとテクニックを段階的に教えています。提供されるツールは、授業終了後も長く使用できる完全なフォレンジックラボを形成します。
このコースは分析に焦点を当てたものであり、FOR500では証拠の取り扱い、「保管の連鎖」、ドライブ取得の入門などの基本的な内容は扱っていませんのでご注意ください。コース作成者は、発見された最新の遺物や技術に対応するため、FOR500 を積極的に更新しています。このコースは、Microsoft Windowsオペレーティング・システムのフォレンジックと、発生したインシデントの分析に関心がある方に最適です。過去3年以上Windowsフォレンジック分析スキルを更新していない場合、このコースは必須です。
実践的な演習と実際のケーススタディを通して、FOR500: Windowsフォレンジック分析では、実践的な経験を積み、以下のスキルを身につけます:
- Windows 7、Windows 8/8.1、Windows 10、Windows 11、およびWindows Server製品に焦点を当て、査読済みのテクニックを適用して、詳細なWindowsフォレンジック分析を実行する。
- 最先端のフォレンジックツールと分析方法を使用し、誰がどのようにアーティファクトをシステムに置いたか、プログラムの実行、ファイル/フォルダのオープン、ジオロケーション、ブラウザ履歴、プロファイルUSBデバイスの使用、クラウドストレージの使用など、容疑者がWindowsシステム上で達成したほぼすべてのアクションを詳細に調べることができる。
- 迅速なフォレンジックを実行し、システムを迅速に評価し、トリアージすることで、迅速な回答を提供し、情報に基づいたビジネス上の意思決定を促進します。
- レジストリとWindowsのアーティファクト分析を通じて、特定のユーザーが最後にプログラムを実行した正確な時間を特定し、知的財産の盗難、ハッカーが侵入したシステム、伝統的な犯罪などのケースで、この情報がどのように意図を証明するために使用できるかを理解します。
- ブラウザ・フォレンジック、ショートカット・ファイル分析(LNK)、電子メール分析、Windowsレジストリの解析を通じて、容疑者がファイルを開いた回数を特定する。
- クラウドストレージの使用状況を監査し、詳細なユーザーアクティビティ、削除されたファイルの特定、データ流出の兆候、さらにはクラウドでのみ利用可能なファイルの詳細情報やハッシュ値を明らかにする。
- Windowsシステム上で特定のユーザーが検索した項目を特定し、容疑者が見つけようとしたデータや情報をピンポイントで特定し、詳細な被害状況の評価を実行します。
- Windows ShellBag分析ツールを使用して、ユーザーまたは攻撃者がローカル、リムーバブル、およびネットワーク・ドライブにアクセスする際に操作したすべてのフォルダとディレクトリを明確にします。
- レジストリ・ハイブやイベント・ログ・ファイルなどのWindowsアーティファクトを解析することで、Windowsシステムに接続されたUSBデバイス、アクセスされたファイルやフォルダ、接続されたユーザーを特定します。
- イベントログの解析テクニックを学び、リモートセッション、キーボード操作、スクリーンセーバーのロック解除など、ユーザーがいつ、どのようにWindowsシステムにログインしたかを特定する。
- Windows検索データベースをマイニングし、ローカルドライブ、リムーバブルメディア、Microsoft Outlook、OneNote、SharePoint、OneDriveなどのアプリケーションから、ファイルメタデータやファイルコンテンツの膨大なコレクションを発見します。
- レジストリデータを使用して犯罪が行われた場所を特定し、接続されたネットワークと無線アクセスポイントを調査することでシステムの地理的位置を特定する。
- ブラウザフォレンジックツールを使用して、詳細なウェブブラウザ分析を実行し、生のSQLite、LevelDB、およびESEデータベースを解析し、メモリフォレンジックとセッションリカバリアーティファクトを活用して、プライバシークリーナーやインプライベートブラウジングソフトウェアが使用されている場合でも、ウェブアクティビティを特定します。
- ElectronおよびWebView2アプリケーションLevelDBデータベースの解析により、ほとんどのチャットクライアントを含む数百ものサードパーティアプリケーションの調査を可能にします。
- 個人がどのようにシステムを使用したか、誰と通信したか、ダウンロード、変更、削除されたファイルを具体的に特定します。
本講座受講にあたっての前提条件
このコースを受講するための前提条件となるコースはありません。このコースで学ぶ成果物やツールにとらわれない技術は、Windowsオペレーティングシステムに関わるあらゆるサイバー事件や犯罪の分析を成功に導きます。
