システムをベースにしたフォレンジック知識をネットワークに活かしましょう。ネットワークのエビデンスを調査に組み込むことで、より良い発見を提供でき、結果として仕事がはかどることでしょう。
ネットワークの要素を含まないフォレンジック調査を行うことは非常にまれです。エンドポイントに対するフォレンジックは、この業種において常に基本的かつクリティカルなスキルですが、ネットワーク通信を見落とすことは、犯罪の防犯カメラ映像を無視するようなものです。侵入事件、データ盗難、従業員の悪用、攻撃者の発見といった様々な事件に対して、ネットワークに対する検査をすることは、決定的な事実を証明することに役立ちます。ネットワークに関するエビデンスは、説明する必要がある事象に対して証拠を提供し、数カ月以上活動しているような攻撃者をも暴くことができます。最終的に、発生した犯罪について、誰もが疑うことのできない証拠とすることができます。
FOR572は、今日の調査業務においてネットワーク通信への注目が高まっていることから、多くの例を含め、必要とされる最も重要なスキルをカバーするよう設計されています。多くの調査チームでは、既存の証拠を新たに取得した脅威インテリジェンスを使って、以前に確認されていないインシデントの証拠を明らかにするために、プロアクティブな脅威ハンティングをスキルに取り入れています。また、インシデント後の調査と報告に重点を置くチームもあります。また、被害者の環境から攻撃者を封じ込め、根絶させることを目的として、リアルタイムで敵対者と交戦する者もいます。このような状況やその他の状況において、攻撃者の通信から残された成果物は、攻撃者の意図、能力、成功、失敗についての貴重な情報を提供してくれます。最も熟練した遠隔攻撃者が、検出できないような攻撃によってシステムを危険にさらしたとしても、そのシステムは、必ずネットワークを介して通信が行われます。 侵害したシステムへの指示(コマンドーコントロール)とデータを抜き出すチャネル(抽出チャネル)がなければ、侵入したコンピュータシステムの価値はほとんどゼロになるということを覚えておいてください。
本コースでは、ネットワーク上のエビデンスを調査に取り込むために必要なツール、テクノロジ、およびプロセスについて効率的に習得できるように説明していきます。この一週間であなたは、豊富なツール類と、職場に戻ってからすぐ利用できる知識を身につけることができるでしょう。高レベルのNetFlow解析、低レベルレイヤーのpcap探査、補助的なネットワークログ検査など、ネットワークエビデンスのあらゆる範囲を網羅します。数カ月から数年の価値があるエビデンスを含む既存のインフラストラクチャデバイスを基に活用する方法と、インシデントがすでに進行中の時に新しいコレクションプラットフォームをどのように配置するかについて説明します。
あなたがお客様の現場で対応しているコンサルタントであっても、サイバー犯罪の被害者を支援し、責任者の訴追を求める法執行機関の専門家であっても、フォレンジック実行担当者であっても、「脅威ハンター」の上位メンバーであっても、 あなたのキャリアを次のレベルに引き上げるのに役立つ実際のシナリオに基づいた演習を提供します。SANS SECURITY各コースの既受講生やネットワークディフェンダーには、より多くのインシデント対応と調査責任者として、セキュリティ運用に関するこのFOR572 Advanced Network Forensics: Threat Hunting, Analysis, and Incident Responseの内容から得るものがあるでしょう。FOR572では、ディスクイメージやメモリイメージを使用せずに、実世界の問題と同様の問題を解決していきます。
FOR 572のハンズオンラボのほとんどは、FOR 508:Advanced Incident Response,Threat Hunting,Digital Forensicsの最新版と足並みを合わせて開発されています。そのことにより、ホストとネットワークの両方のアーティファクトを含むハイブリッドアプローチが理想的であることをご理解いただくことができるはずです。このコースの主な焦点はネットワーク側から見た読み解き方にあてていますが、ホストの側面でより深い示唆を得る方法についてもフォーカスしていきます。FOR508の既受講生や、これから同コースを受講される方は、こうした関連性を高く評価するでしょう。
このクラスのハンズオンは、幅広いツールとプラットフォームをカバーしています。その中には、パケットキャプチャと分析のために長年使われているtcpdumpやWireshark、アーティファクト抽出のためのNetworkMinerや、nfdump、tcpxtract、tcpflowなどのオープンソースツールなどがあります。本コースに新たに追加されたツールには、SOF-ELKプラットフォーム(事前設定済みのELKスタック付きのVMwareアプライアンス)があります。この「ビッグデータ」プラットフォームには、Elasticsearchのストレージおよび検索データベース、Logstashの取り込みおよび解析ユーティリティ、そしてKibanaのグラフィカルダッシュボードインターフェイスが含まれています。これらは、カスタムSOF-ELKコンフィギュレーションファイルとともに、様々なログやNetFlow解析が行なえるように準備されたプラットフォームとなっています。フルパケット解析と大規模なハントについては、フリーでオープンソースのArkimeプラットフォームも取り上げ、実習ラボで使用します。また、すべてのラボを通して、シェルスクリプト機能を使用して、数百および数千のデータレコードを簡単にリッピングする作業も行なっていただきます。
FOR572は応用コースであり、基礎に相当するのは初日のみになります。フォレンジックテクニックと方法論、ネットワーキング(ネットワークからユーザ向けサービスまで)、Linuxシェルユーティリティ、そしてそれらに関連する事項を復習しておいてください。本コース内容を通して、これらのスキルは、1バイト(または1パケット)ずつ、インシデントを解き明かし、犯罪に立ち向かうのにきっと役立つでしょう。
