NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
Digital Forensics and Incident Response
English2024年9月9日(月)~2024年9月14日(土)
1日目: 9:00-17:30
2日目~6日目: 9:30-17:30
オンライン
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000円(税込み 1,485,000 円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
コースの全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく講義を受けることができない可能性が高いです。そのため、次の条件をすべて満たすシステムを用意することを強くお勧めします。
コースの開始前にはシステムのバックアップをかならず取ってください。また、重要なデータはシステムに保存しないでください。SANSでは受講生のシステムやデータに責任を負うことができません。
350GB以上の空きストレージ容量が必要です。
コースのメディアがダウンロードで配信されるようになりました。講義で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間は大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは講義初日にすぐに必要になります。講義が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。
教材には、ライブ授業に参加する前、またはオンライン授業を開始する前に行うべき重要な手順が記載された「セットアップ手順書」が含まれています。この手順を完了するには、30分以上かかる場合があります。このような新しい環境では、講師がプレゼンテーションを行っている間、あるいは演習に取り組んでいる間も講義の資料を確認できるようにしておくために、セカンドモニターやタブレット端末を利用すると効率が上がります。
ノートパソコンの設定に関して追加で質問がある場合は、laptop_prep@sans.orgにお問い合わせください。
システムをベースにしたフォレンジック知識をネットワークに活かしましょう。ネットワークのエビデンスを調査に組み込むことで、より良い発見を提供でき、結果として仕事がはかどることでしょう。
ネットワークの要素を含まないフォレンジック調査を行うことは非常にまれです。エンドポイントに対するフォレンジックは、この業種において常に基本的かつクリティカルなスキルですが、ネットワーク通信を見落とすことは、犯罪の防犯カメラ映像を無視するようなものです。侵入事件、データ盗難、従業員の悪用、攻撃者の発見といった様々な事件に対して、ネットワークに対する検査をすることは、決定的な事実を証明することに役立ちます。ネットワークに関するエビデンスは、説明する必要がある事象に対して証拠を提供し、数カ月以上活動しているような攻撃者をも暴くことができます。最終的に、発生した犯罪について、誰もが疑うことのできない証拠とすることができます。
FOR572は、今日の調査業務においてネットワーク通信への注目が高まっていることから、多くの例を含め、必要とされる最も重要なスキルをカバーするよう設計されています。多くの調査チームでは、既存の証拠を新たに取得した脅威インテリジェンスを使って、以前に確認されていないインシデントの証拠を明らかにするために、プロアクティブな脅威ハンティングをスキルに取り入れています。また、インシデント後の調査と報告に重点を置くチームもあります。また、被害者の環境から攻撃者を封じ込め、根絶させることを目的として、リアルタイムで敵対者と交戦する者もいます。このような状況やその他の状況において、攻撃者の通信から残された成果物は、攻撃者の意図、能力、成功、失敗についての貴重な情報を提供してくれます。最も熟練した遠隔攻撃者が、検出できないような攻撃によってシステムを危険にさらしたとしても、そのシステムは、必ずネットワークを介して通信が行われます。 侵害したシステムへの指示(コマンドーコントロール)とデータを抜き出すチャネル(抽出チャネル)がなければ、侵入したコンピュータシステムの価値はほとんどゼロになるということを覚えておいてください。
本コースでは、ネットワーク上のエビデンスを調査に取り込むために必要なツール、テクノロジ、およびプロセスについて効率的に習得できるように説明していきます。この一週間であなたは、豊富なツール類と、職場に戻ってからすぐ利用できる知識を身につけることができるでしょう。高レベルのNetFlow解析、低レベルレイヤーのpcap探査、補助的なネットワークログ検査など、ネットワークエビデンスのあらゆる範囲を網羅します。数カ月から数年の価値があるエビデンスを含む既存のインフラストラクチャデバイスを基に活用する方法と、インシデントがすでに進行中の時に新しいコレクションプラットフォームをどのように配置するかについて説明します。
あなたがお客様の現場で対応しているコンサルタントであっても、サイバー犯罪の被害者を支援し、責任者の訴追を求める法執行機関の専門家であっても、フォレンジック実行担当者であっても、「脅威ハンター」の上位メンバーであっても、 あなたのキャリアを次のレベルに引き上げるのに役立つ実際のシナリオに基づいた演習を提供します。SANS SECURITY各コースの既受講生やネットワークディフェンダーには、より多くのインシデント対応と調査責任者として、セキュリティ運用に関するこのFOR572 Advanced Network Forensics: Threat Hunting, Analysis, and Incident Responseの内容から得るものがあるでしょう。FOR572では、ディスクイメージやメモリイメージを使用せずに、実世界の問題と同様の問題を解決していきます。
FOR 572のハンズオンラボのほとんどは、FOR 508:Advanced Incident Response,Threat Hunting,Digital Forensicsの最新版と足並みを合わせて開発されています。そのことにより、ホストとネットワークの両方のアーティファクトを含むハイブリッドアプローチが理想的であることをご理解いただくことができるはずです。このコースの主な焦点はネットワーク側から見た読み解き方にあてていますが、ホストの側面でより深い示唆を得る方法についてもフォーカスしていきます。FOR508の既受講生や、これから同コースを受講される方は、こうした関連性を高く評価するでしょう。
このクラスのハンズオンは、幅広いツールとプラットフォームをカバーしています。その中には、パケットキャプチャと分析のために長年使われているtcpdumpやWireshark、アーティファクト抽出のためのNetworkMinerや、nfdump、tcpxtract、tcpflowなどのオープンソースツールなどがあります。本コースに新たに追加されたツールには、SOF-ELKプラットフォーム(事前設定済みのELKスタック付きのVMwareアプライアンス)があります。この「ビッグデータ」プラットフォームには、Elasticsearchのストレージおよび検索データベース、Logstashの取り込みおよび解析ユーティリティ、そしてKibanaのグラフィカルダッシュボードインターフェイスが含まれています。これらは、カスタムSOF-ELKコンフィギュレーションファイルとともに、様々なログやNetFlow解析が行なえるように準備されたプラットフォームとなっています。フルパケット解析と大規模なハントについては、フリーでオープンソースのArkimeプラットフォームも取り上げ、実習ラボで使用します。また、すべてのラボを通して、シェルスクリプト機能を使用して、数百および数千のデータレコードを簡単にリッピングする作業も行なっていただきます。
FOR572は応用コースであり、基礎に相当するのは初日のみになります。フォレンジックテクニックと方法論、ネットワーキング(ネットワークからユーザ向けサービスまで)、Linuxシェルユーティリティ、そしてそれらに関連する事項を復習しておいてください。本コース内容を通して、これらのスキルは、1バイト(または1パケット)ずつ、インシデントを解き明かし、犯罪に立ち向かうのにきっと役立つでしょう。
私がコンピュータとネットワークのセキュリティに関心を持ち始めた1990年代半ばの頃、別のコンピューターネットワークを「攻撃する」という考え方はサイエンスフィクションでした。 今日では、民間や行政、軍、それにインテリジェンスな組織は堅牢で統合された情報セキュリティプロセスを持っています。 フォレンジックのコミュニティ内では、我々が動的な攻撃者に直面する度に効果的で俊敏な対応を行い、進歩してきました。エンドポイントフォレンジックの演習は近い将来もデジタルフォレンジックの根本的要素としてあり続けます。なぜならそこでイベントが最終的に発生するからです。
このようなデジタルフォレンジックの最も注目すべき領域に対処するために、FOR572:Advanced Network Forensics: Threat Hunting, Analysis, and Incident Responseコースが作成されました。多くの企業は、何千ものエンドポイントの中から一握りを調べることが重要な課題であると理解できるレベルまで成長しており、ネットワークはインシデント対応と調査のための独自の媒体になっています。
ネットワークからキャプチャしたデータ自体を含め、あらゆるネットワーク機器から取得した証拠を利用する力が今後の脅威への対策を成功させる重要な能力になります。低俗な "スクリプトキディ"から国家主導の戦略的なスパイ活動のような長期的な攻撃まで、ネットワークはインシデントライフサイクルを通じて利用される共通要素の1つです。 FOR572では、実際に起きたケースを基に作ったシナリオを使用して、ツールやメソッドを用いてあらゆる規模のネットワーク環境での調査方法を教えます。本コースを終える頃には貴方は職場に戻ってすぐに使える貴重な知識と、次世代の攻撃者の能力に対抗できる手段を身に着けているでしょう。
- Phil Hagen, SANS Fellow, Course Lead and Author
Philは、私がこれまで学んだ講師の中で最も優れた講師の一人でしょう。彼は優秀な男で、頭が良く、教えながら関連する業界知識をたくさん持っていて、内容を面白く保つ方法を知っています。
- Ronald Bartwitz
多くの基本的なネットワーク・フォレンジックの概念は、他のデジタル・フォレンジック調査の概念と一致していますが、ネットワークには特別な注意を必要とする多くのニュアンスがあります。今日は、デジタル・フォレンジックとインシデントレスポンスについてすでに知っていることをネットワークベースの証拠に適用する方法を学びます。また、この仕事の基本的なツールにも慣れていただきます。
ネットワークデータは保存することができますが、転送中にキャプチャまたは文書化された場合に限ります。戦術的であれ戦略的であれ、パケット・キャプチャーの方法は非常に簡単です。パケット・キャプチャの証拠を使って、有用なネットワーク・アーチファクトをそのままの形で調査することになるが、ほとんどの環境では、長期間のフル・パケット・キャプチャはまだ珍しい。したがって、過去にワイヤ上で何が起こったかを知ることができる多くのアーティファクトは、ネットワーク機能を管理するデバイスから得られるものです。どのような種類のデバイスが貴重な証拠を提供できるのか、またどの程度の粒度で提供できるのかについて学びます。ネットワーク証拠の最も一般的なソースの1つであるWebプロキシサーバーから証拠を収集する方法を説明します。
一般に NetFlow と呼ばれるネットワーク接続ロギングは、ネットワーク調査において最も貴重な証拠となることが多い。多くの組織は、その最小限のストレージ要件により、フローデータの広範なアーカイブを持っています。NetFlow は伝送のコンテンツをキャプチャしないので、長期保存に関する多くの法的問題は軽減されます。たとえコンテンツがなくても、NetFlow は、事前攻撃から目的達成のための作戦まで、調査を導き、敵の活動を特徴づける優れた手段を提供します。被害者の環境内を移動するためであれ、データ流出のためであれ、敵対者は様々なファイル・アクセス・プロトコルを使用して獲物を移動させなければならない。より一般的なファイルアクセスや転送プロトコルを知ることで、フォレンジケーターは攻撃者の窃取行為を素早く特定することができます。
曖昧な写真でさえ、従来の調査で貴重な手掛かりを提供することができるように、NetFlowデータはネットワーク通信に関する非常に価値の高いインテリジェンスをネットワークフォレンジケーターに提供することができます。その価値を引き出す鍵は、より詳細な調査活動を推進するために NetFlow の証拠をどのように使用するかを知ることにあります。
NetFlow はまた、環境の典型的な動作をベースライン化するのに使用する理想的な技術であり、したがって、そのベースラインからの逸脱は、さらなる調査のための領域を示唆する可能性があります。脅威ハンティング・チームは、NetFlow を使用して、新たに特定された疑わしいエンドポイントやトラフィック・パターンと一致する以前の接続を特定することもできます。
このセクションでは、一般的な NetFlow プロトコルの内容、一般的な収集アーキテクチャ、および分析方法について学びます。また、より面倒な pcap ファイルに飛び込む前に、フルパケットのコレクションを NetFlow レコードに抽出して、迅速な初期分析を行う方法についても説明します。
次に、FTP セッションから特定のファイルを再構築する方法を含む、ファイル転送プロトコルについて調べます。FTP は一般的にデータの流出に使用されますが、マルチストリームの性質上、プロトコル解析テクニックを磨く機会にもなります。
最後に、Microsoft Windows または Windows 互換環境に特有のさまざまなネットワーク・プロトコルを調べます。マイクロソフト・ウィンドウズのドメイン構造でファイル転送やその他の無数の目的に使用されるSMBプロトコルの調査に多くの時間を費やします。攻撃者は、被害者の環境内で「その土地で生活する」ために、これらのプロトコルを頻繁に使用する。既存のプロトコルと予想されるプロトコルを使用することで、敵は平易な視界の中に身を隠すことができ、彼らの存在と行動を捜査当局に密告する可能性のあるマルウェアの展開を避けることができる。
一般的にNetFlowと呼ばれるネットワーク接続のロギングは、ネットワーク調査において最も重要なエビデンスソースの1つです。 多くの組織では、ストレージ要件を最小限に抑えながら、できるかぎり多くのデータフローアーカイブを保持しています。 NetFlowは送信内容を取得しないため、長期保有に伴う法的問題が軽減されます。 送信内容がなくとも、NetFlowは調査を導き、攻撃前から進行中の攻撃者の動向の特徴を明らかにする優れた手段を提供します。 ターゲット環境内であろうとなかろうと、もしくはデータの流出に関係なく、攻撃者は様々なファイルアクセスプロトコルを使用してターゲットとする場所で行動します。よく使われているファイルアクセスおよび転送プロトコルを理解することにより、フォレンジック担当者は攻撃者による不正行為を迅速に特定することができます。
従来の調査により描かれる青写真からも重要な手がかりが得られますが、NetFlowデータはネットワーク通信に関する極めて重要度の高い情報をネットワークフォレンジック担当者に提供することができます。 より詳細な調査活動を推進するためにはNetFlowのエビデンスの活用方法を知ることが、情報を抽出する鍵となります。
NetFlowは、環境内の典型的な動作のベースラインを求めるのに理想的な技術であり、ベースラインから逸脱している場合は悪意ある行動である可能性があります。 Threat huntingチームもまたNetFlowを使用することで、新たに検出された疑わしいエンドポイントやトラフィックパターンと一致する事前の接続を識別することができます。
このセクションでは、NetFlowプロトコルの内容や、また一般的な収集アーキテクチャと分析方法について学習します。 また、扱いにくいpcapファイルを分析する前に、フルパケットコレクションをNetFlowレコードに展開して、初期分析を行う方法について学びます。
たとえば、ファイル転送プロトコルについて、FTPセッションから特定のファイルを再構築する方法を含めた調査を行います。FTPは通常データ転送に使用されますが、そのマルチストリームの性質からプロトコル解析技術を見直すよい機会になるからです。
最後に、Microsoft Windows または Windows と互換性のある環境に特有のさまざまなネットワークプロトコルを調べます。SMBプロトコルは、Microsoft Windowsのドメイン構造において、ファイル転送やその他の無数の目的で使用されています。攻撃者は頻繁にこれらのプロトコルを使用して、被害者の環境内で「土地に住み着く」ようにします。既存のプロトコルや予想されるプロトコルを使用することで、攻撃者は目に見えない場所に身を隠し、調査官にその存在と行動を密告する可能性のあるマルウェアを展開することを回避することができるのです。
市販ツールは、ネットワークフォレンジック担当者にとってツールキットの主力となるでしょう。 市販ツールが一般的に実装している機能を、調査ワークフローと統合する最適の方法について検討します。 ワイヤレスネットワークの急速な普及に伴い、この技術がもたらす特有の課題に対処できるよう準備をしなければなりません。 しかしながら、検査されるプロトコルの性質や分析を実行するための予算の過多にかかわらず、フルパケットキャプチャの検証手段を持っていることが不可欠であり、そしてそれを実行するためのツールキットがあることが重要です。
フォレンジック担当者が通常、遭遇するかもしれない状況において、市販ツールには明らかな利点があります。最も一般的なのは、スケーラビリティです。 多くのオープンソースツールは、戦術的な使用もしくは小規模な使用のために設計されています。 大規模な展開や特定のニッチ機能に使用する場合でも、これらのツールは多くの調査ニーズにすぐさま対応することができます。
さらに、ワイヤレスネットワークのフォレンジックにも取り組んでいきます。従来の有線ネットワーク検査との類似点や相違点、および無線プロトコルからどのような興味深い証跡が回収できるのかについても説明します。 攻撃者がこれらの弱点をどのように攻撃に利用できるか、そして攻撃がどのように検出されるかなど、ワイヤレスにおける特有の弱点も取り上げていきます。
最後に、市販ツールを使用しなくても、フルパケットキャプチャから大規模な検証を行えるよう改善するための方法を見ていきます。オープンソースのArkimeプラットフォームと、それをライブおよびフォレンジックなワークフローにてそれがどのようにして使用されているのかを見ていきます。すぐに使用できるArkime仮想マシンを使用して、調査済みのインシデントからソースデータをロードし、そして以前キャプチャされたフルパケットデータから真実を探します。
Molochのアーキテクチャとユースケース
一般的な技術の発達によって簡単に攻撃者になれるようになり、それらを追跡することは困難になりました。強力な暗号化方式はすぐに利用可能で、独自プロトコルを作成して利用するのも簡単です。 それでも、最も高度な攻撃者の手法にさえ弱点はあります。攻撃者が我々から何を意図的に隠しているのかを考えながら、調査をしていることを察知されないように慎重に進めていかなければなりません。さもなければ、攻撃者がすぐ路線を変更し、それまでの調査の進捗を無効化されてしまうからです。
暗号化は、ネットワークフォレンジックにとって良い意味で最も重要なハードルであると言われています。暗号化は適切に実装されると解析者側との壁に成りえますが、技術的および実装上の弱点を利用することもできます。これらの弱点が存在しない場合でも、暗号化されたネットワークトラフィックへの適切な分析アプローチによって、コンテンツに関する貴重な情報を得ることが出来ます。ここでは暗号化の基本と、調査中にどのように暗号化へアプローチするかについて説明します。またこのセクションでは、暗号化された通信を特徴づけるフロー分析についても説明します。
また、不当な目的の為の公開されていないプロトコルや再利用されたプロトコルについても説明します。 具体的には、通信しているプロトコルについての知識が限られていたり、全くなかったりした場合にもインテリジェンスな値を導き出す方法について説明します。
最後に、よくある間違いからフォレンジック担当者が、その進捗状況を攻撃者へどのように提供してしまうかについて説明します。このことは、攻撃者が戦術を変更したり、調査者を混乱させたり、それまでの全ての成果を消し去ることさえ起こしかねません。調査の実施や侵害された環境におけるベストプラクティスと、関連したリスクを軽減するために苦労して得た情報を共有する方法について説明します。
このセクションでは、この1週間で学んだことをすべて組み合わせた演習を実施します。グループに分かれ、熟練攻撃者による現実世界の不正アクセスからネットワークエビデンスを調べていただきます。 各グループは、独立してデータを分析し、仮説を立て、発展させ、結果を提示してください。 エンドポイントシステムからのエビデンスは利用できません。ネットワークとそのインフラストラクチャだけが使用可能です。
プレゼンテーションを通して、受講生によるネットワークエビデンスの理解と、仮説をサポートし明確化する能力をテストします。 オーディエンスにはシニアレベルの意思決定者が含まれるため、すべてのプレゼンテーションには、エグゼクティブサマリーと詳細な技術点が含まれていなければなりません。 時間が許せば、繰り返しの侵入の防止、検出、軽減をするための推奨手順も含めてください。