ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 608

Enterprise-Class Incident Response & Threat Hunting

Digital Forensics and Incident Response

English
日程

2024年6月17日(月)~2024年6月22日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30 

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GEIR
講師
Mike Pilkington|マイク ピルキントン
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36point
受講料

【早期割引価格】1,220,000 円(税込み 1,342,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格 1,350,000円(税込み 1,485,000円)

申込締切日
早期割引価格:2024年5月24日(金)
通常価格:2024年6月7日(金)
オプション
  • GIAC試験  160,000円(税込み 176,000円)
  • OnDemand  160,000円(税込み 176,000円)
  • NetWars Continuous  270,000円(税込み 297,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR608 PC設定詳細


重要! 次の手順に従ってシステムを構成してください。


このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、このコースに不可欠な実践的な演習に参加できないため、クラスを満足できないままにしてしまう可能性があります。したがって、コースに指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。

講義の前にシステムのバックアップを取ってください。また、システムに機密データを保存しないようにしてください。SANSはシステムやデータに対して責任を負いません。

 

ノートパソコンのハードウェア要件

  • CPU: 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 重要: Appleシリコンを搭載したデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 350GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイント保護ソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。


ノートパソコンのホストOS要件とソフトウェア要件

  • ホストOSはWindows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 授業前にホストOSを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows 10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows 11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)を授業開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

コースメディアはダウンロードで配信されます。授業で使用するメディアファイルは大容量で、多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。この手順を完了するには、30分以上かかる場合があります。

あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。

ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。

FOR608コース概要

今日の企業には、デスクトップからサーバ、オンサイトからクラウドまで、数千、場合によっては数十万ものシステムがあります。物理的な場所やネットワークの規模のいかんによって攻撃者からの攻撃が抑止されているわけではありませんが、それらの要因は、組織がセキュリティインシデントを検出して対応する際の方法に影響をします。我々の経験では、かなりの規模の組織が侵害を受けた場合、攻撃者が1つや2つそこらのシステムを侵害するなどということはほとんどありません。適切なツールと方法論を持ち合わせることがなければ、セキュリティチームは常にキャッチアップに追われ、一方で攻撃者は成功し続けることでしょう。

FOR608: Enterprise-Class Incident Response & Threat Huntingは、一つ一つの端末だけを取り扱うのでは到底間に合わないような大規模なインシデントの特定と対応に重点を置いています。ただ、通常のインシデント対応とコンセプトは似通っており、やはり、何百台ものマシンからの情報に基づいて収集、分析、意思決定を行います。そのためには、自動化と分析が必要な情報に迅速にフォーカスする機能を必要とします。エンタープライズ・クラスの規模で動作するよう構築されたサンプルのツールを使用して、インシデント・レスポンスとスレット・ハンティングのために焦点を絞ってデータを収集する方法を学習します。その後、タイムライン、グラフ化、構造化、および非構造化分析手法を使用して、さまざまな機能のホストやオペレーティングシステムの間で、攻撃者の動きや活動を理解するための複数のアプローチを学習し、分析手法を掘り下げていきます。


FOR 608:エンタープライズクラスのインシデント対応と脅威ハンティングでは、次のことを学習できます

  • インシデント対応に詳細なホストの調査や、軽量稼働によりレスポンス良くデータの一括収集が必要なケースの理解
  • チームが複数の部屋、州、または国で同時に作業できるようにするコラボレーションおよび分析プラットフォームの導入
  • 大規模な環境からのホスト・ベースおよびクラウド・ベースのフォレンジック・データ収集
  • Azure、M365、AWSのクラウドプラットフォームに対応するためのベストプラクティス
  • LinuxおよびMacのオペレーティング・システムに対応した分析手法
  • Dockerコンテナなどコンテナ化されたマイクロサービスの解析

  • 多種多様な分析手法を使用して、複数のデータ・タイプおよびマシン間でデータを相関関連づけおよび分析する方法
  • 構造化データと非構造化データの分析による攻撃者の行動の特定
  • 収集されたデータの質を高め、侵害の可能性を示す追加の指標を定義する
  • IOC署名と分析を開発して検索機能を拡張し、将来、類似インシデントを迅速に検出することを可能にする
  • 目的に合わせたインシデント対応活動ツールを使用して、インシデントとインジケータを最初から最後まで追跡する

受講対象者

このコースは、常に企業の規模や複雑さに直面している中堅から大企業のデジタルフォレンジック、インシデントレスポンス、侵入検知、脅威ハンティングの専門家を対象としています。

なお、FOR608Windowsのホストおよびネットワークベースのフォレンジックとインシデントレスポンスに関する入門的な内容をスキップした上級コースです。このクラスは、500番台のクラスよりも必ずしも技術的に優れているわけではありませんが、トピックやコンセプトが繰り返されないよう、予備知識を前提としています。

NICE フレームワークの役割

  • サイバー防衛インシデント対応者(OPM 531)
  • サイバー犯罪捜査官(OPM 221)
  • 法執行/防諜フォレンジック・アナリスト(OPM 211)
  • サイバー防衛フォレンジック・アナリスト(OPM 212)

※FOR608は、GIAC(GEIR)認定試験対象コースです。

GIAC Enterprise Incident Response(GEIR)認定資格は、実務者がエンタープライズクラスのインシデントレスポンスおよび脅威ハンティングのツールと技術を習得していることを証明するものです。GEIR認定者は、さまざまな機能やオペレーティング・システムにわたる攻撃者の動きを理解するための分析手法を使用する能力を実証しています。
  • インシデント対応チームの管理と調整
  • エンタープライズ・インシデント検知と脅威ハンティング
  • 大規模イベントの相関とタイムライン分析
  • マルチプラットフォームのアーティファクト分析
    • Windowsアーティファクトの分析
    • Linuxアーティファクトの分析
    • macOSアーティファクトの分析
    • コンテナアーティファクトの分析
    • クラウド環境アーチファクトの分析

本講座受講にあたっての前提

FOR 608は上級レベルのコースですので、Windowsホストおよびネットワークのフォレンジックやインシデント対応における初心者向けの内容をスキップします。このコースは、SANSの500番台のクラスより絶対的に技術的な内容とは言えませんが、トピックやコンセプトについて何度も説明し直す必要が無いように、知識をお持ちであることを前提としています。

受講生は、数年以上のDFIR経験があるか、次のようなクラスを受講した経験がある、またはその双方を受講mにあたって必要とします。

FOR500 (Windows Forensics Analysis)、
FOR508 (Advanced Digital Forensics, Incident Response, and Threat Hunting)

コース開発者より

「大規模な環境でのインシデント対応では、インシデント対応担当者がさまざまな分野に精通する必要があります。広範なフォレンジック調査の知識が基礎となります。良い技術的アプローチにより、スケーラビリティを確保することが可能になります。6桁台のマシンが接続されているネットワークを調査するという純粋な技術的課題の先には、モノの管理という側面があります。インシデント対応の成功ことには、侵害が被害者に与える影響を可能な限り最小化し、攻撃者が前よりも素早く復帰できないようにするためのすべての措置が含まれます。
インシデント対応を成功させるリーダーは、リソースと被害者を賢明に管理し、情報が途中で失われないようにし、効率的で安全なリカバリのための知識を提供し、侵害中に適切な内部および外部のコミュニケーションをサポートする必要があります。FOR 608では、多くのよく知られたフォレンジックおよびインシデント対応の原則を適用し、それらを拡張しますが、さらに一歩進んで、大規模な調査を実行および制御する方法を説明します。最善のインシデント対応は、評判が失われることや、侵害のコストを可能な限り削減すると同時に、被害者を安全な状態にしておくことだと考えます。」
- Mathias Fuchs

「FOR 608は、FOR 508の講義の終了地点から始まるように設計されています。FOR 508では、攻撃者がWindowsベースのネットワークに侵入するために一般的に使用するテクニックと、インシデントレスポンダが最初の侵入からデータ侵害までを追跡するのに役立つアーティファクトについて詳しく説明します。FOR 508での6日間のトレーニングで多くのことが達成されましたが、FOR 608でカバーすべき分野はまだたくさんあります。

捜査の旅を続けるために、FOR608を導入します。FOR608は、アクティブな防御と検出、ケースとチームの管理、大規模なデータ分析、Linux、Mac、クラウド環境のオペレーティングシステムに対する攻撃の調査など、企業におけるインシデントレスポンスの重要な側面をカバーします。これらは、企業が効果的に対応するために重要と考えられている大切なテーマの一部にすぎません。次段階のテクニックとサポートツールを習得することで、現在ほとんどの組織が直面している、大規模で多様な脅威に対処するために必要な能力を学生に提供できます。」
- MikePilkington

何年も前には、インシデントレスポンスは、単一のシステムを扱う単一のインシデント対応者に焦点を強く当てていました。時代は劇的に変化し、私たちは企業全体に積極的かつ効果的に広がっている先進的な敵対者に直面しています。攻撃が検出される時までに、何百ものシステムが危険にさらされていることがよくあります。こうした脅威に対応するためには、インシデント対応者が利用可能なツールと技術を使用してプロセスをスケールアップすることが重要です。そうしたことについて、FOR 608が実現に役立つでしょう。
このコースは現実的なシナリオに基づいて構築されており、受講生の深い理解を促すツールを使用してインシデントレスポンスを段階的に実施していきます。皆さんがご自身の企業において期待されているのとまったく同じように、さまざまなテクノロジーと大量のデータを取り上げています。どのように対応して、CTIを共有し、ツールを活用するかを学ぶことで、最もしつこい攻撃者にも対応できるようにインシデントレスポンスの機能を強化しています。企業内でインシデント対応を担当する方を対象としたコースです。
- Taz Wake

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

FOR608.1: Proactive Detection and Response

概要

FOR608: Enterprise-Class Incident Response & Threat Huntingのコースは、サイバー防衛に関する現在の懸念事項、およびインシデント対応者と脅威ハンターが検出と対応においてどのようにしてより積極的な役割を果たすことができるかについての議論から始まります。MITRE ATT&CK (R) フレームワークのようなソースから共有された知識を組み込み、チームとコミュニティ内のコラボレーションを行うことが焦点となります。さらに、攻撃者への能動的防御アプローチの採用と検出の容易化について議論します。ハニーポット、ハニートークン、およびカナリアの使用と、それらを配備する方法について説明します。こうしたtripwireは、侵入を迅速に検出して応答するための可視性を必要とする防御側および応答側を提供します。

不幸にも避けられない真実としてシステムへの侵害が発生した場合、侵害の効率的な処理を可能にするプロセスと技術に焦点を当てて議論を続けます。対応のリード、チームメンバーの管理、調査結果の文書化、ステークホルダーとのコミュニケーションなどの概念を詳細に説明します。インシデント対応とビジネス要件を整合させるインシデント対応モデルの3つの優先順位を紹介します。この専用のAuroraツールは、初期検出からスコーピング、封じ込め、インジケータの開発、修復までの調査フェーズを追跡するための共有プラットフォームとして提供されるものです。

講義では、スレット・インテリジェンスの開発及び実施を含む、概念についての検討を継続していきます。外部プロジェクトのMITRE ATT&CK (R) マトリックスやSigmaも活用します。脅威インテリジェンスの取り込み、追跡、共有のための2つの包括的脅威インテルプラットフォームとして、 MISPとOpenCTIを取り上げます。仮想のサンプル企業として、Stark Research Labs (SRL) を標的とした攻撃者に関する脅威情報レポートが提示され、侵入の潜在的な兆候の調査を開始します。

この日の講義の最後では、上記で説明した仮想の企業ネットワークでトリガーされたアラートが、潜在的な攻撃のスタート地点として使用されます。担当者によって収集されたトリアージデータは、タイムライン上で処理され、データがTimesketchにインポートされます。Timesketchは、フォレンジックデータのスケーラブルで協調的な分析のための強力なプラットフォームとして利用されます。タイムラインデータのインポート、追加のフィールド解析の提供、および異常なアクティビティを強調するための機能強化のベストプラクティスが紹介されています。講義の後半では、Kibanaと同じデータセットを表示するテクニックも提供しており、視覚化のためのダッシュボードの作成や、分析を支援するための保存された検索などの追加機能が提供されます。

演習

能動的検出のためのハニートークンの開発
  • Auroraでの初期アラートの記録
  • OpenCTIを使用して、仮想企業の業界をターゲットとするアクターの脅威レポートを分析する
  • Timesketchを使用して社内で発生する可能性のある侵害を分析
  • FOR608のスコアボードでチームのスコアを集計するAuroraで、調査結果を記録し続ける

トピックス

企業におけるインシデント対応と脅威ハンティング
  • 脅威の追跡と検出に対する積極的防衛アプローチの採用
  • 攻撃者封じ込めのためのDeny、Disrupt、およびDegradeのActive Defense概念の使用
  • 検知のための能動的防御概念の使用
  • ハニーポット使用の長所と短所
  • カナリア/ハチミツトークンの長所と短所
  • 侵入検知のためのカナリアトークンの環境への導入

大規模な対応の管理
  • チームと組織の中で確実に対応を行うのための主要原則の作成
  • チーム、役割、責任の構造化
  • レスポンスのリード
  • リソースの管理
  • インシデント対応とプロジェクト管理の分野の結合
  • インシデントの追跡と報告のための効果的な文書化とコミュニケーション
  • インシデント対応ドキュメントプラットフォームAuroraの紹介

インテル主導のインシデント対応
  • インシデント対応におけるサイバースレット・インテリジェンスの重要性を理解する
  • スレット・インテリジェンスのさまざまなソースを確認し、IRプロセスと統合する
  • 組織におけるインテリジェンスの開発と管理
  • ATT&CK (R) マトリクスの分析と、攻撃者のテクニックと能力のマッピングにおけるその重要性
  • OpenCTIを使用した脅威アクターTTPのカタログ化、整理、および視覚化

Timesketchによる拡張性の高い共同解析
  • Timesketchを使用して、複数のアナリストによる複数のホストの詳細な分析を実行
  • 目的のイベントに注釈、ラベル、ブックマークを付けて、カスタムタイムラインビューを作成
  • 追加のフィールド解析を可能にするデータインポートのバリエーションを提供する
  • 分析を支援するための分析とビジュアライザーの適用
  • 発見されたことを伝えるためのストーリーの作成

FOR608.2: Scaling Response and Analysis

概要

セクション2は、セクション1からそのままピボットして、レスポンスモードへと移行していきます。仮想のサンプル企業であるStark Research Labs(SRL)に対する潜在的な侵入について調査するため、大規模な証拠の収集を始めます。SRLにはEndpoint Detection and Response (EDR) ツールがあり、そのデータを活用して収集範囲を決めます。しかし、攻撃者はEDR技術をバイパスしたり破壊したりすることがあるので、一般的に行われているバイパス技術についてご教示いたします。また、EDRの制限を認識するとともにEDRログ・データ内の異常なアクティビティを検出するためのトレーニングを受講者と実施します。

ログ化された一般的なアーティファクトの分析にとどまらず、大規模なインシデントレスポンスと脅威ハンティングのための強力なプラットフォームとして、オープンソースのVelociraptorツールを紹介します。Velociraptorは、企業全体からフォレンジックのアーティファクトを引き出すことに長けているだけでなく、分析者にとって関心のある個々のホストを深く掘り下げるためのツールを提供しています。Velociraptorが多くの状況においてだけでなく、多くのオペレーティング・システムやアーキテクチャに役立つ柔軟なツールであることをお示しします。

Velociraptorの便利な機能のひとつは、収集したデータをElasticsearchにプッシュできることです。Elasticsearchもまた、あらゆるインシデント対応者のツールキットに適した強力で柔軟なツールです。そのため、Elasticsearchを使用して、Velociraptor、PowerShell IRフレームワーク、Kansa、Log 2 timelineツールからのデータを含むさまざまなデータ型を取り込み、処理します。それからKibanaにダッシュボードと可視化をセットアップして異常値解析を行い、大規模データセット全体で一般的な攻撃者のTTPを迅速に探索します。

EDRのログデータやVelociraptorやKansaのようなツールを使って侵害の恐れがあるネットワークを一通り確認した後は、より深堀りしていく必要がある一連のホストが必然的に見えてくるはずです。VelociraptorやCyLRのようなマルチプラットフォームツールなど、大規模な目標データ収集を迅速に行っていくためのオプションをご提示します。Velociraptorの場合、永続的なクライアント/サーバベースでインストールできますが、スタンドアロンのコレクタとしてもインストールできます。どのような場合においても敵の活動の進み具合を追跡するために重要となる成果物を収集するため、それらのツールを使用する方法をデモします。解析のために取得したデータを迅速に後処理することも、パズルの重要なピースの1つです。収集されたアーティファクトを迅速に取得し、Timesketch、Elasticsearch、または個々のアーティファクトのレビューで分析するためのソリューションを提示いたします。

演習

インシデントの範囲/特定のためのSysmonテレメトリとログイベントの分析
  • 小規模なVelociraptorクライアント/サーバ環境の導入。脅威エミュレーション・ツールから生成されたアーティファクトのハントの実行
  • FOR 608 SIFT Liinux VMでElasticsearchとKibanaの設定。Velociraptor、Kansa、Log 2 timelineからデータの取り込み・分析
  • VelociraptorとCyLRを使用したフォレンジックトリアージ画像の取得。タイムライン分析の結果の迅速な処理

トピックス

EDRおよびEDRバイパス
  • インシデントの範囲/特定のためのSysmonテレメトリとログイベントの分析
  • インシデントに重点を置いたカスタムSysmon設定ファイルの作成
  • EDRツールを破壊したり迂回したりする攻撃者のテクニックについての議論

Velociraptorを使用したインシデントレスポンスのスケーリング
  • Velociraptorの様々な使用例の説明
  • Velociraptor Query Language (VQL) アナライザ(アーティファクト)のカスタマイズについての学習
  • クライアント/サーバ構成でのVelociraptorの迅速な導入
  • スレットハンティングやフォレンジック情報の入手
  • 効果的な後処理および分析のためのVelociraptorノートブックの使用
  • 部分析用のElasticsearch、Splunk、またはCSVフラットファイルへの結果のエクスポート

ELKによる解析のスケーリング
  • ELKスタック (別名Elastic Stack) を使用したログの取り込み・分析
  • 構造化データとフリー・フォーム・データのELKへの取り込み
  • ダッシュボード、ヒストグラム、グラフ、および保存された検索を使用した攻撃者のTTPの迅速な発見

迅速な対応のトリアージ
  • CyLRとVelociraptorによる、Windows、Linux、Macからのフォレンジックアーティファクトの迅速な取得
  • Velociraptor用カスタム収集パッケージの作成
  • Timesketch、Elasticsearch、またはCSVファイルを使用した、タイムライン分析の後処理

FOR608.3: Modern Attacks Against Windows and Linux

概要

セクション3では、従来のホスト・ベースのフォレンジック・アーティファクト分析に移行します。この日はまずランサムウェア攻撃など、Windowsシステムを攻撃する最新技術を紹介します。ランサムウェア攻撃やその他の標的型攻撃の前兆検知において、攻撃者が「環境寄生型攻撃」により検知を無効化することについてかなりの説明時間を費やします。攻撃者が組み込みのバイナリやスクリプト(aka 「LOLBAS」、 「Living-Of-Landバイナリとスクリプト」)を利用して、カスタムマルウェアをホストに持ち込むことなく目的を達成するテクニックは数多くあります。こうしたテクニックについて積極的に検知または遡及的に分析するのを学ぶのは、今日におけるシステム侵害を調査するために重要なことです。

Windowsに関する最初のディスカッションに続き、残りの時間はLinuxのインシデント対応と分析に焦点を当てます。大小さまざまな組織が、Linuxシステムを自社の環境に導入しています。Linuxに対する侵入はそれほど頻繁にニュースになるわけではないですが、攻撃者が脆弱なLinuxシステムを定期的に悪用し、被害を受けた組織に足場を築き、維持していることは周知の事実です。

FOR 608では、Linuxのシステムや構成に共通する脆弱性の概要を説明した後、これらのシステムを標的とする攻撃者による一般的な攻撃方法を採り上げます。権限の昇格、永続性、およびラテラル・ムーブメントは、Windows環境への攻撃によく使用される手法ですが、Linuxに対しても同様に適用されます。

続けて、Linuxシステムを分析する際のDFIRの基本的な事柄について採り上げます。しばしば混乱を引き起こすトピックとしては、Linuxディストリビューション、Linuxファイルシステム、論理ボリュームマネージャー、主要なログファイルの場所の違いなどがあります。Linuxシステムの初期におけるトリアージと、より深いフォレンジック分析の両方を扱う方法をご提示します。予期しないログイン、疑わしい新規ファイルまたは変更されたファイル、アプリケーションログ内の外れ値を検索する方法などは、悪意のある動作を特定するために使用される手法のほんの一部です。最後に、システムのハードニング、ロギング設定の強化、および将来の調査に役立つモニタリング機能の追加に関するベストプラクティスを紹介します。FOR608の主目標は、Linuxの侵入を調査する能力を受講生に提供することです。このコースを修了すれば、さまざまな企業ネットワークにおける大規模な侵入に対応するための重要な新しいスキルと技術を習得できます。

演習

  • 「LOLBAS」アクティビティの検出
  • Linux Webログ分析
  • Linuxのトリアージ

トピックス

Windowsに対する最新の攻撃

  • 世の中のファイルレスマルウェア
  • ランサムウェア攻撃の前兆を含む、一般的な「LOLBAS」活動
  • ノイズの中から不審な "LOLBAS "を探す
Linuxについてのイントロダクション
  • Linuxの歴史
  • Linuxのユビキタスな性質
  • Linuxシステムの管理、セキュリティ保護、および監視に関して組織が直面する課題

Linuxに対する最近の攻撃
  • 脆弱なアプリケーションやオペレーティングシステムサービスの悪用
  • 構成ミスやパッチ未適用のサービスをついた攻撃
  • 特権昇格、永続性、横方向移動、および侵入を含む攻撃ライフサイクルを達成するための攻撃者のテクニック

Linux DFIRの基礎
  • ファイル・システムの主な相違点
  • EXT 3、EXT 4、XFSファイル・システムの概要
  • 論理ボリューム・マネージャ (LVM 2) の理解
  • Linuxファイルシステムで使用可能なタイムスタンプ(EXT 3、EXT 4、XFS、Btrfs、ZFSの比較)
  • 一般的なLinuxファイルシステムのディレクトリ階層

Linuxログ分析

  • 共通ログとその場所
  • ログ分析のためのIR戦略
  • ログオン・アクティビティの確認
  • 疑わしいイベントに関するアプリケーション・ログのマイニング

Linuxトリアージ・コレクションとフォレンジック対応

  • 鍵構成ファイルの収集
  • アーティファクト・リッチなログの収集
  • シンプルさと一貫性のためのスクリプト収集
  • Linuxの設定ハードニング
  • 監査ポリシーの改善
  • エンドポイントセキュリティツールの追加

 

 

FOR608.4: Analyzing macOS and Docker Containers

概要

このコースでは、ホストベースのデータ収集、攻撃者を「現行犯」で捕捉するライブレスポンスツールの導入、疑わしい活動を大規模に発見するための「ビッグデータ」分析プラットフォームの活用など、さまざまなタスクに取り組んできました。また、Linux オペレーティングシステムを深く掘り下げ、これらのシステムに対する避けられない攻撃に対応するための重要な方法を発見しました。

次のモジュールでは、Apple社のmacOSオペレーティング・システムの主要な側面について見ていきます。これらのホストは、多くの企業ネットワークに普及するようになりました。このため、インシデント対応担当者は、このようなシステムに対応するための理解とトレーニングを積んでおくことが重要です。インシデントレスポンスの手法に入る前に、macOSおよびApple製モバイルデバイスの歴史と現在のエコシステムについて説明します。その後、Apple FilesystemAPFS)、ファイルとディレクトリ構造、Property Listplist)構成ファイルなど、Macの分析に重要なファイルタイプなどの重要なトピックに移ります。

基本的な事柄を説明した後、macOSのインシデントに対応するための課題とチャンスに目を向けます。ディスクやトリアージデータの取得方法、取得したデータのレビュー方法、疑わしい活動を発見するために最も有用なログやその他のアーティファクトなどの疑問について、すべて詳しく説明します。

LinuxMacのフォレンジック分析の基礎を固めた後は、コンテナ型のマイクロサービスの概念に目を向けます。コンテナは、アプリケーションやサービスを信頼性と再現性の高い方法で展開するための一般的な方法です。コンテナの最も一般的なプラットフォームはDockerであり、FOR608ではここに注目しました。Dockerコンテナのアーキテクチャと管理に関するディスカッションは、学生が分析に集中する場所を理解するのに役立ちます。また、特定のトリアージワークフローを取り上げ、アナリストが迅速かつ効果的に対応するための反復可能なプロセスを身につけます。

演習

  • APFSディスクイメージのマウントと解析

  • macOSのアーティファクトとログの確認

  • Dockerの管理およびログ

  • DockerのトリアージとIR

トピックス

macOSの基礎知識

  • Appleオペレーティングシステムの歴史
  • 企業におけるApple

Appleのファイルシステム

  • APFSの特徴
  • macOSのタイムスタンプ
  • macOSのファイルとディレクトリの構造
  • プロパティリスト(.plist)ファイルなどの主要なファイルタイプ

Macインシデントレスポンス

  • フォレンジック取得の課題
  • ディスクイメージのマウント方法
  • ユーザーとシステム構成のプロファイリング
  • 一般的なパーシステンス手法のレビュー
  • macOSのログ分析
  • ライブトリアージ取得のスクリプト化

企業におけるコンテナ

  • コンテナの概念的な概要
  • Dockerの紹介
  • コンテナに対する攻撃
  • フォレンジックの課題

コンテナのためのDFIR

  • メタデータの収集と分析
  • スナップショットによるコンテナファイルの保存
  • Dockerのログ解析
  • エフェメラルデータの収集
  • イメージファイルや履歴の確認

FOR608.5: Cloud Attacks and Response

概要

この日は、マイクロソフトとアマゾンの主要なクラウドプラットフォームにおけるインシデントへの対応に重点を置いています。分析対象はこれらのプラットフォームですが、ログ分析技術、アーキテクチャ設計、自動化の取り組みなど、あらゆるクラウドプロバイダに適用可能な内容を扱います。また、クラウド環境から仕掛けられた攻撃や、そのようなケースで残される可能性のあるアーティファクトについても取り上げます。

クラウド環境は、インシデントレスポンスにとってユニークな課題であると同時に、素晴らしい機会でもあります。これらの要素について簡単に紹介することで、1日のスタートを切ります。今回も、MITRE ATT&CK(R)フレームワークが、防御と検知を組織化するのに有効であることが分かりました。

Microsoft 365 (M365) Azureに移動し、いくつかの人気のあるSaaSオファリングが議論されます。これらのサービスには、ExchangeSharePointActive Directory認証のようなホストされたサービスのためのM365Azure ADが含まれています。多くの企業がこれらのサービスを利用しており、予想通り、攻撃者はこれらのサービスの実装の弱点を見つけることに長けています。そこで、M365Azureに対する多くの一般的な攻撃シナリオについて見ていきます。これらのケースを解決するためには、ログ分析が重要であるため、ログの取得とレビューが議論の焦点となります。具体的には、一般的な検出方法として、Unified Audit LogsUAL)から不審なユーザーのログオンやメールのアクティビティを探します。Azure AD Auditログ(およびその他に説明したもの)も有用なリソースです。

インシデント対応で重要なのは、復旧段階です。復旧段階には、通常、将来的に同様の攻撃を検知または防止するためのセキュリティ強化の実装が含まれます。そのため、M365Azureにおけるより有用なセキュリティ強化のいくつかをカバーします。

第二部では、Amazon Web Services (AWS) のクラウドプラットフォームについて掘り下げます。AWSの一般的なアーキテクチャとコンポーネントについて説明し、AWSを初めて利用する方への基礎知識を提供します。そして、レスポンダーにとって重要な検知・分析データを提供する多くのログやサービスについて詳しく説明します。これにはCloudTrailログ、VPCフローログ、GuardDutyアラート、その他が含まれます。

このセクションでは、より迅速で効果的な分析を行うためのクラウドでのレスポンスのためのアーキテクチャに関する議論を締めくくります。これは、AWS内の安全なエンクレーブのためのセキュリティアカウントを設定することを含みます。また、ボリュームスナップショットやネットワークパケットキャプチャなどに対する分析を実行するために、テンプレートVMAMI)を推奨しています。最後に、自動化できる一般的なIRタスクと、AWS LamdaStep Functionsを使用してむしろシームレスにそれを行う方法について見ていきます。このセクションで紹介するソリューションはAWSを中心としたものですが、そのコンセプトは、組織が重要視するほぼすべてのクラウドプラットフォームに適用でき、そしてそれを適用すべきです。

演習

  • M365ログ解析

  • 攻撃者のクラウド エクスフィル インフラストラクチャを発見する

  • AWS CloudTrailのログ分析

  • AWS VPC Flowのログ解析

トピックス

クラウドにおけるDFIR

  • クラウドサービスモデル(IaaSPaaSSaaS)
  • クラウドフォレンジックと従来のフォレンジックの比較
  • MITRE ATT&CK(R) クラウドマトリックス

AzureM365におけるインシデントレスポンス

  • M365/O365 SaaSオファリング
  • Azure IaaSPaaSのプラットフォーム
  • Azure AD アーキテクチャ
  • 一般的な攻撃シナリオ
  • 重要なログソースとログ抽出
  • 不審なユーザーのログオンと電子メール活動の調査
  • M365 Azure のセキュリティ

クラウドの攻撃者

  • クラウドを活用した攻撃の調査
  • 攻撃者のクラウドインフラからホストベースのアーティファクトを発見する

AWSの基礎知識

  • 組織とアカウントの階層
  • AWSアイデンティティとアクセス管理(IAM)
  • 認証とIDの種類
  • AWSのリージョンとAPIエンドポイント
  • AWSのコンピューティング、ストレージ、ネットワーキングの構造

AWSにおけるインシデントレスポンス

  • AWSインシデントレスポンスガイドを活用する
  • AWSのインシデントドメイン
  • CloudTrailCloudWatchのような重要なログソース
  • GuardDutyDetectiveなどの脅威の検出と応答サービス
  • VPCフローログとトラフィックミラーリングによるネットワーク分析
  • クラウドでの解析のためのアーキテクチャー
  • ログとスナップショットの取得
  • 想定されるシナリオの計画と実践

AWSでのIR自動化

  • 自動化のためのタスクの特定
  • AWS VMテンプレート(AMI)の活用による迅速な対応
  • 自動化とオーケストレーションのためのAWS LamdaStep Functionsの活用

FOR608.6: Capstone: Enterprise-Class IR Challenge

概要

6章は、講義の締めくくりとして、これまでに得た知識を実践する場があります。これまでの5つのセクションで説明したツールやテクニックの活用に焦点を当てた、全く新しいCTFCapture-the-Flag)スタイルの演習を提供する予定です。受講者には複数のホストOSとクラウド環境にまたがる危険な環境のデータセットが提供されます。

ライブ授業では、学生は少人数のチームに分かれ、この複雑なケースを最も効率的に解決するために、実際のインシデント対応シナリオと同じように、分析作業を分担して行う。

演習

  • 6日目 CTFチャレンジ

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。