ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 598

AI and Security Automation for Red, Blue, and Purple Teams

English
日程

2026年6月15日(月)~2026年6月20日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GASAE
講師
Jason Ostrom|ジェイソン オストロム
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2026年5月1日(金)
通常価格:2026年6月4日(木) 13:00
オプション

  • GIAC試験 価格:149,850円(税込み 164,835円)

  • OnDemand 価格:149,850円(税込み 164,835円)

  • Skills Quest by netwars 価格:74,250円(税込み 81,675円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR598 PC設定詳細

重要:次の手順に沿って設定されたノートPCをご準備ください。

このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。

このコースではSANS OnDemandプラットフォームを活用するため、ラボはブラウザベースで実施されます。以下のセクションでは、ラボを最適に活用するための主な要件について説明します。

オペレーションシステム

受講者は以下のOSファミリーのいずれかを搭載したノートパソコンを準備する必要があります。

  • ホストオペレーティングシステム:最新バージョンのWindows 10macOS 10.15.x以降、またはLinuxです。受講前にホストOSを完全に更新し、最新のUSB 3.0デバイスを活用するために適切なドライバーとパッチをインストールしていることを確認してください。Linuxホストを使用する人は、適切なkernelまたはFUSEモジュールを使ってexFATパーティションにもアクセスできるようにしてください。
  • 注:Apple Siliconデバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • トラブルシューティングのため、ノートパソコンのローカル管理者権限があることを確認してください。

ブラウザ

以下のブラウザファミリーの最新バージョンをサポートしています。

  • Microsoft Edge
  • Google Chrome
  • Mozilla Firefox

ハードウェア

  • x86互換またはx64互換、2.0GHz以上のCPU
  • 最低4GB8GB以上のRAMを推奨
  • ワイヤレスネットワークアダプター
  • 10GB以上のハードドライブ空き容量

講座中は、セキュリティ専門家が多数在籍するネットワークに接続します。ベストプラクティスとして、システムに機密データを保存しないでください。コース中に受講者がシステムを攻撃した場合、SANSは責任を負いません。

適切な機器を用意し、事前に準備することで、コースで得られる情報を最大限に活用し、楽しみながら学ぶことができます。

コースのメディアはダウンロードで提供されます。講座で使用するメディアファイルは、4050GBと大容量になる場合があります。ダウンロードが完了するまで十分な時間を確保してください。インターネット接続と速度は大きく変動し、様々な要因に左右されます。そのため、教材のダウンロードにかかる時間を概算することはできません。リンクを受け取ったらすぐにコースメディアのダウンロードを開始してください。コースメディアは講座初日にすぐに必要になります。受講開始前夜までダウンロードを待つと、ダウンロードに失敗する可能性が高くなります。

SANSは印刷教材をPDF形式で提供しています。また、一部の講座ではPDFに加えて電子ワークブックを使用しています。電子ワークブックを使用する講座は今後増える見込みです。そのため、講師の講義中や実習中に教材を常に確認できるよう、2台目のモニターやタブレット端末が役立ちます。

ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。

SEC598のコース概要

SEC598: AI and Security Automation for Red, Blue, and Purple Teamsは、攻撃と防御の領域全体にわたってセキュリティプログラムを強化するのに役立ちます。攻撃者エミュレーションキャンペーンの自動化、インテリジェントな対応ワークフローの構築、コード検知パイプラインのエンジニアリングなど、このコースでは、AI主導の自動化を活用して最新の脅威に打ち勝つ方法を学習します。

AI、エージェント自動化、コード検知、SOARを運用化するスキルを習得するとともに、GenAIとLLMをエンリッチメントおよび対応ワークフローに統合し、安全なクラウドインフラストラクチャを導入し、攻撃手法をエミュレートします。

これらの機能は、レッドチームとブルーチームの機能を継続的なパープルチームに統合する25の没入型ラボと実践的なフレームワークを通じて実現されます。これにより、攻撃テストの自動化、クラウドネイティブな検知の拡張、AIを活用したプレイブックの構築が可能になり、より迅速、スマート、そしてより回復力の高いサイバーセキュリティ運用が可能になります。

生成AIによるセキュリティ自動化

今日のセキュリティオペレーションセンター(SOC)は、膨大なアラート数、複雑なハイブリッドクラウド環境、断片化されたツール、そしてAIを活用した攻撃の激化といった、かつてない課題に直面しています。多くのチームは過負荷で、事後対応に追われ、現代の攻撃のスピードと複雑さへの対応に苦慮しています。

SEC598:AI and Security Automation for Red, Blue, and Purple Teamsは、これらの課題に対処し、変革を加速するために構築されています。このコースでは、世界最高水準のアプローチ、実用的なフレームワーク、ツール、そして実践的な経験を提供し、よりスマートで迅速、そして回復力の高いセキュリティ運用を構築します。自動化ワークフロー、GenAI、エージェント型自動化は、攻撃チームと防御チームの両方にとって戦力増強ツールとなります。

このコースでは、概念を教えるだけでなく、それらをエンタープライズグレードの環境に実装する方法と、完全に運用可能な最新のセキュリティ運用とはどのようなものかを示します。ハンズオンラボでは、GLOBEX Automation を操作します。GLOBEX Automation は、AI を導入し、Azure、AWS、オンプレミスのインフラストラクチャを網羅する、現実的なハイブリッドエンタープライズ環境です。SOC チームや組織が日々直面する実際の課題を反映するように設計されています。

25の没入型ラボとボーナスチャレンジを通じて、自動化プレイブックの導入、コードとしての検出パイプラインのエンジニアリング、GenAI と LLM を活用した RAG の統合によるエンリッチメント、継続的な制御検証のためのレッドチーム AI エージェントの構築、そして AI を活用した防御ワークフローの設計による検知と対応の迅速化について学びます。また、継続的なパープルチーミング、攻撃テストと防御検知のギャップの解消、SOC の成熟度を継続的に向上させる最新のセキュリティ機能の構築についても学びます。

コース修了時には、すぐに使える自動化プレイブック、IaC テンプレート、AI 駆動型ワークフロー、コードとしての検出パイプラインなど、セキュリティプログラムをすぐに強化するために必要なものがすべて揃っています。 LLMを活用した検知エンジニアリング、自律型レッドチームエージェント、自動対応ワークフロー、そしてSOC全体にAIと自動化を統合するための実践的なフレームワークについて、経験を積むことができます。

SEC598は理論的な内容ではなく、実践的で没入型の、実践的なSANSコースです。LLMを活用した検知エンジニアリングから自律型レッドチームエージェント、自動ワークフローから継続的なパープルチーム編成まで、このコースは、よりスマートな防御、より迅速な対応、そしてAIを活用した次世代のセキュリティ運用をリードする能力を身につけられます。

受講対象者

  • このコースは、攻撃重視と防御重視の両方のセキュリティ担当者に最適です。SOCアナリスト、検知エンジニア、自動化エンジニア、インシデント対応者、そして検知・アズ・コードの導入、AI駆動型ロジック作成の統合、そしてエンリッチメントとレスポンスのワークフロー強化に意欲的なセキュリティエンジニアを対象としています。
  • さらに、私たちのアプローチは、攻撃者エミュレーションの拡張、検知パイプラインの構築と構築、そしてGenAIを活用した自動化をエンタープライズ規模で適用したいと考えているセキュリティアーキテクト、クラウドエンジニア、レッドチームオペレーター、ブルーチームメンバー、パープルチームメンバー、倫理的ハッカー、そしてペネトレーションテスターを支援するように設計されています。
  • 一般的に、このコースは、ハイブリッドおよびマルチクラウド環境全体で、より効率的で近代化されたAIを活用したセキュリティ機能を提供するために、スキルを変革したいと考えているセキュリティ担当者を対象としています。

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

GenAI、LLM、セキュリティ自動化の基礎

AIと自動化が今なぜ重要なのかを理解し、最新のセキュリティ自動化の基盤を構築します。AIシステムのセキュリティ保護、セキュリティへのAIの活用、ハイブリッドクラウド環境とSOC運用全体にわたる自動化戦略の統合方法を学びます。

取り上げられるトピック

  • セキュリティ自動化とAIが今日重要な理由
  • CI/CDアプローチにおけるセキュリティエンジニアリング
  • 大規模な構成管理とポリシー・アズ・コード
  • 自動化トリガーとSOARワークフロー
  • コードとしての検出、GenAILLMの基礎

ラボ

  • 必要なのはバケット1つだけ
  • AnsibleによるOS強化ベースライン
  • トリガーを自動化スクリプトにリンク
  • LLMRAGの概要
  • コードとしての検出 ILLMを使用した検出コードの記述

概要

このセクションでは、コースの戦略的および技術的な基盤を構築します。AIと自動化が現代のセキュリティ運用に不可欠となった理由と、それらがセキュリティチームを事後対応型からプロアクティブで適応的な運用へと移行させる方法について探ります。AIがセキュリティを防御面と攻撃面の両方でどのように影響するか、そして自動化フレームワークを企業のSOC全体に適用する方法を学びます。

このセクションの最大のハイライトは、ハイブリッドクラウド環境、SOCワークフロー、自動化インフラストラクチャを大規模にシミュレートするGlobex Automation環境です。受講者は、ポリシー・アズ・コードにAnsibleを実装して構成ベースラインを管理し、検出・コード用のCI/CDパイプラインを構築し、AI主導のワークフローを開始するための初期自動化トリガーを作成します。最後のモジュールであるSEC598では、セキュリティ機能を強化するための検出・コード、生成AILLMの基礎を網羅します。

ラボの詳細

  • ラボ 1.1: バケット1つですべて:攻撃手法の実行とクラウドの設定ミス検出
  • ラボ 1.2: AnsibleによるOS強化ベースライン:大規模なセキュリティ設定の導入
  • ラボ 1.3: トリガーを自動化スクリプトにリンク:自動化されたセキュリティワークフローの構築
  • ラボ 1.4: LLMRAG入門:エンリッチメントワークフローにおける大規模言語モデルの検討
  • ラボ 1.5: 検知・コードILLMを用いた検知ルールの記述

トピックスの詳細

  • セキュリティ自動化とAIが重要な理由
    • SOC自動化とAI導入の推進要因
    • セキュリティ運用の拡張における課題と人材不足
  • ポリシー・アズ・コードとセキュア構成管理
    • Ansibleによるベースラインの自動化
    • ハイブリッド環境全体で一貫したセキュリティポリシーの適用
    • 望ましい状態の設定の定義とコンプライアンスの監視
  • セキュリティエンジニアリングのためのCI/CD
    • サイバーセキュリティのためのDevOps入門
    • バージョン管理された検知ロジックとデプロ​​イメントパイプライン
    • 検知・対応ワークフローの自動化スケール
  • 自動化のトリガー
    • 標準化された自動化ワークフロー
    • 自動化に使用される一般的なトリガー
  • 自動化プレイブック:
    • モジュール式で再利用可能な自動化ワークフローの概要
    • 自動オーケストレーションのためのAPIとセキュリティプラットフォームの統合
  • GenAILLMの基礎
    • エンリッチメント、検出、パープルチーミングのユースケースへのLLMの適用
    • さまざまなLLMモデルとRAGベースのソリューションの理解
  • パープルチーム向けの検出エンジニアリング
    • 防御的な検出ロジックのための攻撃的なインサイトの活用
    • 大規模なコードとしての検出パイプラインの構築と展開

セキュリティ自動化エンジニアリングとAIワークフロー

このセクションでは、PowerShellTerraformAnsiblePythonJupyter Notebookを使用した実践的な自動化ワークフローに焦点を当てます。受講者は、安全なインフラストラクチャ・アズ・コードによるデプロイメントの構築、自動射撃場の作成、SOARプレイブックのエンジニアリング、次世代SOC運用のためのAI駆動型エージェントワークフローの開発方法を学習します。

取り上げられるトピック

  • 攻撃と防御の両方に対応するPowerShellによる自動化セキュリティワークフロー
  • Terraformを使用したセキュアなクラウド管理のためのインフラストラクチャ・アズ・コード(IaC
  • テストと検証のための自動射撃場の構築
  • SOCのエンリッチメントと分析のためのPythonJupyter Notebook
  • SOARツール、プレイブックの自動化、エージェントAIエンジニアリング

ラボ

  • PowerShellによるOS強化ベースライン
  • Terraformによるクラウド管理
  • TerraformAnsibleによる射撃場のデプロイ
  • Jupyter Notebookによるメール脅威分析

概要

セクション2では、自動化の基礎となる原則を基盤として、現代のSOCで一般的に使用されている複数のテクノロジーに適用します。受講者はまずPowerShellを用いてベースライン構成を自動化し、ブルーチームの強化とレッドチームのシミュレーションの両方のタスクに適用します。次に、Terraformを用いたInfrastructure as CodeIaC)へと進み、安全なクラウドプロビジョニングと、CI/CDパイプラインに容易に統合できる繰り返し可能なデプロイメントに焦点を当てます。

自動化ワークフローを検証するために、受講者はTerraformAnsibleを用いて射撃場を構築し、検知パイプラインとセキュリティ制御の安全かつ繰り返し可能なテストを実現します。次に、受講者はPythonJupyterノートブックを活用し、モジュール化と再利用可能なコードを重視しながら、エンリッチメント、分析、インシデント対応のための柔軟なセキュリティ自動化スクリプトを構築します。

このセクションの最後には、SOAR ツールとエージェント AI エンジニアリングについて説明し、SOAR プレイブックを構築および自動化しながら、インシデントを自律的に調査して対応できる AI 搭載の推論エージェントを統合し、人間が関与する制御によって検出と対応のギャップを埋める方法を示します。

ラボの詳細

  • ラボ 2.1: PowerShell を使用した OS 強化ベースライン: Windows ホストのベースライン適用の自動化
  • ラボ 2.2: Terraform を使用したクラウド管理: セキュアなハイブリッドクラウドリソースのデプロイ
  • ラボ 2.3: Terraform Ansible を使用した射撃場のデプロイ: SOC ワークフローのための繰り返し可能なテスト環境の構築
  • ラボ 2.4: Jupyter Notebook を使用したメール脅威分析: フィッシングメールの分析と IOC 抽出の自動化
  • ラボ 2.5: Tines ストーリーの作成: Tines を使用して SOAR ワークフローを構築および自動化

トピックスの詳細

  • PowerShell を使用した自動化ワークフロー
    • ベースライン強化のためのブルーチームの自動化
    • 攻撃テストのためのレッドチームのユースケース
  • Infrastructure as code (IaC) の威力
    • Terraform を使用した安全で繰り返し可能なクラウドプロビジョニング
    • インフラストラクチャのプロビジョニングと構成管理
    • 望ましい状態の構成の定義とコンプライアンスの監視
  • 射撃場の構築
    • 射撃場の構築
    • Terraform Ansible ベースのエミュレーション環境
  • Python Jupyter Notebook
    • エンリッチメントと調査のワークフロー
    • 可視化とモジュール式ノートブック駆動型SOC自動化
  • SOARプレイブック自動化エンジニアリング
    • 自動化ワークフローの定義
    • 現在のSOARプラットフォームとその機能の比較
    • ハイパーオートメーションの未来
  • エージェントAIエンジニアリング
    • エージェントワークフローの設計と定義
    • 自律的な意思決定支援と対応のためのエージェントAIの統合

クラウド自動化とAIセキュリティサービス

このセクションでは、Microsoft AzureAWSにおけるクラウドネイティブなセキュリティ自動化について解説します。セキュリティポリシーの適用、対応ワークフローの自動化、AIサービスの統合、AI駆動型Kubernetes攻撃シミュレーションやGenAI搭載エージェントによる継続的なセキュリティテストなど、攻撃的および防御的な自動化の導入方法を学習します。

取り上げられるトピック

  • クラウドセキュリティの基礎とガバナンス(AzureAWS
  • セキュリティ監視と適用を自動化するクラウドネイティブサービス
  • Microsoft AIAWS Bedrockサービスによるインテリジェントな自動化
  • クラウドネイティブなインシデント対応、監視、サードパーティAPI統合
  • KubernetesをターゲットとするAWS AIエージェントと継続的なセキュリティテスト

ラボ

  • Azureで自動アクションを作成
  • 侵害を受けたシステムに対するクラウドネイティブIR
  • AIを活用した継続的なセキュリティテスト
  • 攻撃的AIエージェントによるKubernetesのテイクダウン

概要

セクション3では、クラウド運用の構築、セキュリティ保護、自動化に焦点を当てます。受講者はクラウドセキュリティの基礎から始め、Microsoft Azureへと進み、Azure PolicyBlueprintsの実装方法を学び、自動化を通じてガバナンスとコンプライアンスを強化する方法を学びます。Azureの監視、Logic AppsFunctionsを使用したSOARオーケストレーション、そしてMicrosoft AIサービスを紹介し、エンリッチメントと自動意思決定を強化します。

AWSについては、AWS ConfigSecurity HubLambdaStep Functionsを取り上げ、自動化されたガバナンス、インシデント対応、サードパーティAPIとの統合を実現します。受講者はAWS Bedrockを活用してAIを活用したインサイトを探求し、AI駆動型自動化パイプラインを用いた継続的なセキュリティテストを実施します。

最後に、受講者はKubernetes環境にAI駆動型攻撃エージェントをデプロイすることで、クラウドネイティブの脅威シミュレーションと防御検証に関するインサイトを提供し、攻撃的な視点を習得します。このセクションでは、運用セキュリティと攻撃シミュレーションを橋渡しし、AIと自動化がクラウドセキュリティ運用をどのように変革しているかを包括的に理解できます。

ラボの詳細

  • ラボ 3.1: Azure で自動アクションを作成する: Logic Apps を使用して SOC 対応ワークフローを自動化およびトリガーする
  • ラボ 3.2: 侵害を受けたシステムに対するクラウドネイティブなインシデントレスポンス: Azure および AWS クラウドワークロードにおけるインシデント対応を自動化する
  • ラボ 3.3: AWS とサードパーティ API の統合: 外部データとワークフローを使用して AWS の自動化を拡張する
  • ラボ 3.4: AI を活用した継続的セキュリティテストの強化: GenAI を活用したセキュリティ制御検証を実装する
  • ラボ 3.5: Offensive AI Agents を使用した Kubernetes のテイクダウン: AI 駆動型攻撃エージェントをデプロイして Kubernetes の脅威をシミュレートする

トピックスの詳細

  • クラウド セキュリティの基礎
    • コアとなるクラウド セキュリティ アーキテクチャと検出機能
    • 自動化によるハイブリッドおよびマルチクラウド環境のセキュリティ確保
  • Azure Policy とブループリント
    • Azure Policy とブループリントを使用したガバナンス・アズ・コード
    • クラウド テンプレート スタックを使用したインフラストラクチャ・アズ・コード
    • コンプライアンスの適用と安全なベースライン構成のデプロイ
  • Azure でのセキュリティ監視と自動化
    • クラウドネイティブのログ、検出ツール、Sentinel
    • 自動検出・対応ワークフローの構築
  • SOAR Azure Logic Apps & Functions
    • ネイティブAzureサービスによるSOC対応ワークフローのオーケストレーション
    • Azure Logic AppsFunctionsを使用した自動ワークフロー
  • Microsoft AIサービスによるインテリジェントオートメーション
    • インシデント調査のためのGenAI搭載SOC拡張機能
    • Azure AI Foundryとエージェント型AI
    • Microsoft AICopilotによるエンリッチメントと意思決定支援
  • AWS Configとインフラストラクチャガバナンス
    • 継続的な構成監視とコンプライアンス適用
    • AWS Configルールと修復を使用したコードとしてのポリシー
  • AWS内のセキュリティ監視と自動化
    • AWSセキュリティツールセット
    • AWS内での検出と対応の自動化
  • AWS LambdaStep Functions
    • セキュリティ自動化パイプラインのためのサーバーレスオーケストレーション
    • 脅威の検出と対応のためのイベントドリブンワークフロー
  • AWS Bedrockによるインテリジェントオートメーション
    • AWSでの脅威検出と分析のためのLLMの活用
    • AI強化調査ワークフローの構築
  • 攻撃的なAWSエージェント:Kubernetesへの攻撃
    • 使用攻撃をシミュレートするAI駆動型エージェント
    • 防御態勢のテストと検知パイプラインの検証

レッドチームの自動化と攻撃AIエージェント

このセクションでは、AI搭載レッドチームエージェント、攻撃者エミュレーションフレームワーク、CI/CD駆動型継続的テストを用いた攻撃自動化について考察します。受講者は、MITRE ATT&CKの活用、複数段階の攻撃フローの自動化、自律型攻撃者のシミュレーション、AI強化攻撃手法を用いたクラウド検知機能の検証を学習します。

取り上げられるトピック

  • 攻撃者エミュレーションとパープルチーム手法
  • MITRE ATT&CK駆動型攻撃フレームワーク
  • AI搭載レッドチームエージェントと自律型攻撃者
  • クラウドネイティブ攻撃者エミュレーションと検知検証
  • CI/CDパイプラインに統合された継続的な攻撃者シミュレーション

ラボ

  • Atomicを用いた攻撃手法の完全自動化
  • Calderaを用いた侵入演習の実行
  • CrewAIを用いたレッドチームエージェント
  • 自動検知を用いたクラウド攻撃者シミュレーション
  • Tinesを用いたコードによる攻撃者エミュレーション

概要

このセクションでは、攻撃的なセキュリティ運用の自動化と防御の継続的な検証のための実践的なスキルセットを構築します。「攻撃者エミュレーションとパープルチームの概要」から始まり、受講者は攻撃と防御の協調的なテストがSOCの成熟度と検知耐性をどのように向上させるかを学びます。

「攻撃フレームワークとMITRE ATT&CKの威力」では、ATT&CKが攻撃者エミュレーション、検知マッピング、そして能力測定のための構造化された基盤をどのように提供するかを実証します。「攻撃者エミュレーションツール」は、Atomic Red TeamCalderaといった一般的なフレームワークを運用化し、反復可能かつスケーラブルな攻撃シミュレーションを作成することに重点を置いています。

Atomicを用いたテクニックチェイニング」では、このアプローチを拡張して現実的なキルチェーンシナリオをシミュレートします。「侵害および攻撃シミュレーションツール」では、最新のBASプラットフォームが継続的かつ本番環境で安全な制御検証をどのように提供するかを実証します。このセクションは「自律型敵対者とAIを活用した攻撃」に進み、受講者は攻撃者が生成型AIを適応型攻撃にどのように活用しているかを学びます。

エージェントAIフレームワーク:レッドチームエージェントでは、受講者はCrewAIベースのエージェントを開発し、自律的な意思決定と実行能力を身につけます。クラウド攻撃エミュレーションでは、クラウドネイティブ環境におけるAI主導の攻撃オペレーションに焦点を当て、ハイブリッド検知をテストします。最後のモジュールであるCI/CDによる継続的な攻撃エミュレーションでは、攻撃テストをDevSecOpsパイプラインに統合し、永続的かつ自動化されたパープルチームフィードバックループを構築します。

ラボの詳細

  • ラボ 4.1: Atomic を使用した攻撃手法の完全自動化:ATT&CK 手法を自動化された反復可能な攻撃フローに構築し、連鎖させる
  • ラボ 4.2: Caldera を使用した侵害演習の実行:侵害​​シミュレーション演習を実施およびオーケストレーションし、SOC の検知と対応を評価する
  • ラボ 4.3: CrewAI を使用したレッドチームエージェント:自律的な攻撃テストのために AI 搭載レッドチームエージェントを設計および導入する
  • ラボ 4.4: 自動検知機能を備えたクラウド攻撃シミュレーション:自動クラウドネイティブ攻撃を実行し、検知パイプラインを検証する
  • ラボ 4.5: Tines を使用したコードとしての攻撃者エミュレーション:継続的なテストと検証のために、CI/CD に攻撃者エミュレーションを組み込む

トピックの詳細

  • 攻撃者エミュレーションとパープルチームの概要
    • 攻撃者エミュレーションと協調型パープルチームの基礎
    • 攻撃チームと防御チーム間の継続的な改善ループの構築
  • 攻撃フレームワークと MITRE ATT&CK の威力
    • 使用エミュレーションと検知マッピングの共通言語としてのATT&CK
    • 脅威インテリジェンスに基づくエミュレーション活動の優先順位付け
  • 攻撃者エミュレーションツール
    • Atomic Red TeamCalderaBASプラットフォームの概要
    • 繰り返し可能なエミュレーションキャンペーンの作成
  • Atomicによるテクニックチェイニング
    • 複雑な多段階攻撃パスの自動化
  • モジュール式で再利用可能な攻撃プレイブックの構築
  • 侵害および攻撃シミュレーションツール
    • 検知および対応パイプラインの継続的な検証
    • 本番環境で安全なテストのためのBASの活用
  • 自律型攻撃者とAIを活用した攻撃
    • AIを用いた攻撃オペレーションの強化
    • 生成型AI駆動型攻撃自動化の例
  • エージェントAIフレームワーク:レッドチームエージェント
    • 自律型攻撃アクションのためのCrewAIエージェントの構築
    • AI推論とツール統合による攻撃シミュレーションの強化
  • クラウド攻撃者エミュレーション
    • クラウドネイティブプラットフォームおよびワークロードへの攻撃のシミュレーション
    • 最新の脅威に対するクラウド検知エンジニアリングのテスト
  • CI/CDによる継続的な攻撃者エミュレーション
    • システム内での攻撃者シミュレーションの自動化DevSecOpsパイプライン
    • 常時接続のパープルチーム構築プラクティス

防御自動化とAI拡張レスポンス

自動化とAIを活用したSOC強化の運用方法を学びます。このセクションでは、防御アーキテクチャ、コードによる検知、モジュール型インシデント対応プレイブック、AI駆動型ワークフローに焦点を当てます。また、AI拡張防御と継続的なパープルチーミングを用いて、敵対的自動化に対抗する方法も学びます。

取り上げられるトピック

  • 最新のSOCの進化と自動化の優先事項
  • 自動化を組み込んだ防御アーキテクチャ
  • モジュール型インシデント対応とSOARワークフロー
  • AIを活用したコードによる検知パイプライン
  • 防御自動化による敵対的自動化への対抗

ラボ

  • VelociraptorTimesketchを用いた自動トリアージと分析
  • PowerShellでのインシデント対応プレイブックの作成
  • Tinesでのインシデント対応プレイブックの作成
  • コードによる検知IILLM支援による検知テスト
  • 敵対者エミュレーションと検知プレイブックの作成

概要

このセクションでは、自動化とAIを活用した防御セキュリティ運用の変革方法を探ります。「現代のSOC入門」では、SOC運用の進化と、自動化されたトリアージ、検知、対応ワークフローへのニーズの高まりに焦点を当てます。「防御セキュリティにおける自動化の優先事項」では、価値の高い自動化の機会を特定するためのフレームワークを提供します。

 

「自動化を活用した防御アーキテクチャ」では、セキュリティ自動化を中核コンポーネントとして、回復力の高いSOC環境の構築に焦点を当てます。「検知エンジニアリングとインシデント対応」では、コードによる検知と迅速なインシデント対応によって、対応の速度と品質がどのように向上するかを示します。「SOARSOELの適用方法」では、運用プロセスとビジネスプロセスに適合したエンドツーエンドのセキュリティ自動化パイプラインの設計を学習します。

また、「インシデント対応の自動化フェーズ」と「モジュール型インシデント対応プレイブックの構築」についても紹介し、チームが再利用可能でスケーラブルなプレイブックを設計できるようにします。「AIを活用したコードによる検知」では、LLMが検知エンジニアリングパイプラインを加速する方法を説明し、「SOCにおけるエージェントAIの運用化」では、自律エージェントがエンリッチメント、トリアージ、意思決定支援タスクを実行する方法を示します。最後に、「自動防御と敵対的自動化」では、継続的なパープルチーム編成と適応型対応を通じて AI を活用した敵に対抗する戦略を探ります。

ラボの詳細

  • ラボ 5.1: Velociraptor Timesketch を使用した自動トリアージと分析:フォレンジックトリアージとタイムライン分析ワークフローを自動化します。
  • ラボ 5.2: PowerShell でインシデント対応プレイブックを作成:ネイティブ PowerShell ワークフローを使用して IR 自動化を構築します。
  • ラボ 5.3: Tines でインシデント対応プレイブックを作成:クラウドネイティブの自動化プラットフォームを使用して、モジュール式の IR ワークフローを実装します。
  • ラボ 5.4: コードとしての検出 IILLM 支援による検出テスト:LLM を使用して、CI/CD パイプラインで検出ロジックを生成および検証します。
  • ラボ 5.5: 攻撃者エミュレーションと検出プレイブックを作成:攻撃シミュレーションと自動防御レスポンスを組み合わせます。

トピックの詳細

  • モダンSOC入門
    • SOCの進化とインテリジェンス主導の自動化
    • アラート疲れとスキル不足の克服
  • 防御セキュリティにおける自動化の優先事項
    • 影響の大きい自動化対象の特定
    • ミッション目標に合わせた自動化の調整
  • 自動化による防御可能なアーキテクチャ
    • 回復力のあるSOCアーキテクチャの設計
    • スケーラブルな運用のための自動化の組み込み
  • 検知エンジニアリングとインシデント対応
    • 検知・アズ・コード・パイプラインの実装
    • 検知と自動化されたインシデントレスポンス・ワークフローの接続
  • SOARSOELの適用方法
    • エンドツーエンドのインシデント対応ワークフローの構築
    • 自動化とビジネスプロセスの連携
  • インシデント対応自動化フェーズ
    • エンリッチメント、トリアージ、封じ込め、復旧の自動化
    • 迅速な対応のためのオーケストレーションの活用
  • モジュール式インシデント対応プレイブックの構築
    • モジュール式で再利用可能なプレイブックの作成
    • 複雑なシナリオ向けのネストされたワークフローの設計
  • AIを活用した検知・アズ・コード
    • LLMによるルール生成の高速化
    • CI/CD検知へのAIロジックの統合パイプライン
  • SOCにおけるエージェントAIの運用
    • 自律型AI駆動型SOCエージェントの構築
    • トリアージと意思決定支援のためのマルチエージェント連携
  • 自動防御 vs. 敵対的自動化
    • AIを活用した敵対者への対抗
    • 継続的なパープルチーミングによるレジリエンス強化

セキュリティ自動化キャップストーン

キャップストーンは、コース全体で学んだ原則を適用し、1日かけて実践的な課題に取り組むものです。チームは、検知機能と防御機能を確実に実装するために設計された複数のレベルとミッションをクリアしていきます。

トピックの詳細

  • これまでに学習したセキュリティコントロールの詳細な適用
  • 検知機能の適用と微調整、そして自動化による誤検知率の低減
  • 構成管理ツール
  • Infrastructure as Codeテンプレート
  • Tinesプレイブックの開発
  • AWS構成ルールと ARMテンプレート

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ