NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Enterprise-Class Incident Response & Threat Hunting
Digital Forensics and Incident Response
English2024年6月17日(月)~2024年6月22日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
オンライン
【早期割引価格】1,220,000 円(税込み 1,342,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格 1,350,000円(税込み 1,485,000円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、このコースに不可欠な実践的な演習に参加できないため、クラスを満足できないままにしてしまう可能性があります。したがって、コースに指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。
講義の前にシステムのバックアップを取ってください。また、システムに機密データを保存しないようにしてください。SANSはシステムやデータに対して責任を負いません。
コースメディアはダウンロードで配信されます。授業で使用するメディアファイルは大容量で、多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。この手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
今日の企業には、デスクトップからサーバ、オンサイトからクラウドまで、数千、場合によっては数十万ものシステムがあります。物理的な場所やネットワークの規模のいかんによって攻撃者からの攻撃が抑止されているわけではありませんが、それらの要因は、組織がセキュリティインシデントを検出して対応する際の方法に影響をします。我々の経験では、かなりの規模の組織が侵害を受けた場合、攻撃者が1つや2つそこらのシステムを侵害するなどということはほとんどありません。適切なツールと方法論を持ち合わせることがなければ、セキュリティチームは常にキャッチアップに追われ、一方で攻撃者は成功し続けることでしょう。
FOR608: Enterprise-Class Incident Response & Threat Huntingは、一つ一つの端末だけを取り扱うのでは到底間に合わないような大規模なインシデントの特定と対応に重点を置いています。ただ、通常のインシデント対応とコンセプトは似通っており、やはり、何百台ものマシンからの情報に基づいて収集、分析、意思決定を行います。そのためには、自動化と分析が必要な情報に迅速にフォーカスする機能を必要とします。エンタープライズ・クラスの規模で動作するよう構築されたサンプルのツールを使用して、インシデント・レスポンスとスレット・ハンティングのために焦点を絞ってデータを収集する方法を学習します。その後、タイムライン、グラフ化、構造化、および非構造化分析手法を使用して、さまざまな機能のホストやオペレーティングシステムの間で、攻撃者の動きや活動を理解するための複数のアプローチを学習し、分析手法を掘り下げていきます。
Dockerコンテナなどコンテナ化されたマイクロサービスの解析
このコースは、常に企業の規模や複雑さに直面している中堅から大企業のデジタルフォレンジック、インシデントレスポンス、侵入検知、脅威ハンティングの専門家を対象としています。
なお、FOR608はWindowsのホストおよびネットワークベースのフォレンジックとインシデントレスポンスに関する入門的な内容をスキップした上級コースです。このクラスは、500番台のクラスよりも必ずしも技術的に優れているわけではありませんが、トピックやコンセプトが繰り返されないよう、予備知識を前提としています。
NICE フレームワークの役割
FOR 608は上級レベルのコースですので、Windowsホストおよびネットワークのフォレンジックやインシデント対応における初心者向けの内容をスキップします。このコースは、SANSの500番台のクラスより絶対的に技術的な内容とは言えませんが、トピックやコンセプトについて何度も説明し直す必要が無いように、知識をお持ちであることを前提としています。
受講生は、数年以上のDFIR経験があるか、次のようなクラスを受講した経験がある、またはその双方を受講mにあたって必要とします。
FOR500 (Windows Forensics Analysis)、
FOR508 (Advanced Digital Forensics, Incident Response, and Threat Hunting)
「大規模な環境でのインシデント対応では、インシデント対応担当者がさまざまな分野に精通する必要があります。広範なフォレンジック調査の知識が基礎となります。良い技術的アプローチにより、スケーラビリティを確保することが可能になります。6桁台のマシンが接続されているネットワークを調査するという純粋な技術的課題の先には、モノの管理という側面があります。インシデント対応の成功ことには、侵害が被害者に与える影響を可能な限り最小化し、攻撃者が前よりも素早く復帰できないようにするためのすべての措置が含まれます。
インシデント対応を成功させるリーダーは、リソースと被害者を賢明に管理し、情報が途中で失われないようにし、効率的で安全なリカバリのための知識を提供し、侵害中に適切な内部および外部のコミュニケーションをサポートする必要があります。FOR 608では、多くのよく知られたフォレンジックおよびインシデント対応の原則を適用し、それらを拡張しますが、さらに一歩進んで、大規模な調査を実行および制御する方法を説明します。最善のインシデント対応は、評判が失われることや、侵害のコストを可能な限り削減すると同時に、被害者を安全な状態にしておくことだと考えます。」
- Mathias Fuchs
「FOR 608は、FOR 508の講義の終了地点から始まるように設計されています。FOR 508では、攻撃者がWindowsベースのネットワークに侵入するために一般的に使用するテクニックと、インシデントレスポンダが最初の侵入からデータ侵害までを追跡するのに役立つアーティファクトについて詳しく説明します。FOR 508での6日間のトレーニングで多くのことが達成されましたが、FOR 608でカバーすべき分野はまだたくさんあります。
捜査の旅を続けるために、FOR608を導入します。FOR608は、アクティブな防御と検出、ケースとチームの管理、大規模なデータ分析、Linux、Mac、クラウド環境のオペレーティングシステムに対する攻撃の調査など、企業におけるインシデントレスポンスの重要な側面をカバーします。これらは、企業が効果的に対応するために重要と考えられている大切なテーマの一部にすぎません。次段階のテクニックとサポートツールを習得することで、現在ほとんどの組織が直面している、大規模で多様な脅威に対処するために必要な能力を学生に提供できます。」
- MikePilkington
何年も前には、インシデントレスポンスは、単一のシステムを扱う単一のインシデント対応者に焦点を強く当てていました。時代は劇的に変化し、私たちは企業全体に積極的かつ効果的に広がっている先進的な敵対者に直面しています。攻撃が検出される時までに、何百ものシステムが危険にさらされていることがよくあります。こうした脅威に対応するためには、インシデント対応者が利用可能なツールと技術を使用してプロセスをスケールアップすることが重要です。そうしたことについて、FOR 608が実現に役立つでしょう。
このコースは現実的なシナリオに基づいて構築されており、受講生の深い理解を促すツールを使用してインシデントレスポンスを段階的に実施していきます。皆さんがご自身の企業において期待されているのとまったく同じように、さまざまなテクノロジーと大量のデータを取り上げています。どのように対応して、CTIを共有し、ツールを活用するかを学ぶことで、最もしつこい攻撃者にも対応できるようにインシデントレスポンスの機能を強化しています。企業内でインシデント対応を担当する方を対象としたコースです。
- Taz Wake
FOR608: Enterprise-Class Incident Response & Threat Huntingのコースは、サイバー防衛に関する現在の懸念事項、およびインシデント対応者と脅威ハンターが検出と対応においてどのようにしてより積極的な役割を果たすことができるかについての議論から始まります。MITRE ATT&CK (R) フレームワークのようなソースから共有された知識を組み込み、チームとコミュニティ内のコラボレーションを行うことが焦点となります。さらに、攻撃者への能動的防御アプローチの採用と検出の容易化について議論します。ハニーポット、ハニートークン、およびカナリアの使用と、それらを配備する方法について説明します。こうしたtripwireは、侵入を迅速に検出して応答するための可視性を必要とする防御側および応答側を提供します。
不幸にも避けられない真実としてシステムへの侵害が発生した場合、侵害の効率的な処理を可能にするプロセスと技術に焦点を当てて議論を続けます。対応のリード、チームメンバーの管理、調査結果の文書化、ステークホルダーとのコミュニケーションなどの概念を詳細に説明します。インシデント対応とビジネス要件を整合させるインシデント対応モデルの3つの優先順位を紹介します。この専用のAuroraツールは、初期検出からスコーピング、封じ込め、インジケータの開発、修復までの調査フェーズを追跡するための共有プラットフォームとして提供されるものです。
講義では、スレット・インテリジェンスの開発及び実施を含む、概念についての検討を継続していきます。外部プロジェクトのMITRE ATT&CK (R) マトリックスやSigmaも活用します。脅威インテリジェンスの取り込み、追跡、共有のための2つの包括的脅威インテルプラットフォームとして、 MISPとOpenCTIを取り上げます。仮想のサンプル企業として、Stark Research Labs (SRL) を標的とした攻撃者に関する脅威情報レポートが提示され、侵入の潜在的な兆候の調査を開始します。
この日の講義の最後では、上記で説明した仮想の企業ネットワークでトリガーされたアラートが、潜在的な攻撃のスタート地点として使用されます。担当者によって収集されたトリアージデータは、タイムライン上で処理され、データがTimesketchにインポートされます。Timesketchは、フォレンジックデータのスケーラブルで協調的な分析のための強力なプラットフォームとして利用されます。タイムラインデータのインポート、追加のフィールド解析の提供、および異常なアクティビティを強調するための機能強化のベストプラクティスが紹介されています。講義の後半では、Kibanaと同じデータセットを表示するテクニックも提供しており、視覚化のためのダッシュボードの作成や、分析を支援するための保存された検索などの追加機能が提供されます。
FOR608のスコアボードでチームのスコアを集計するAuroraで、調査結果を記録し続ける
セクション2は、セクション1からそのままピボットして、レスポンスモードへと移行していきます。仮想のサンプル企業であるStark Research Labs(SRL)に対する潜在的な侵入について調査するため、大規模な証拠の収集を始めます。SRLにはEndpoint Detection and Response (EDR) ツールがあり、そのデータを活用して収集範囲を決めます。しかし、攻撃者はEDR技術をバイパスしたり破壊したりすることがあるので、一般的に行われているバイパス技術についてご教示いたします。また、EDRの制限を認識するとともにEDRログ・データ内の異常なアクティビティを検出するためのトレーニングを受講者と実施します。
ログ化された一般的なアーティファクトの分析にとどまらず、大規模なインシデントレスポンスと脅威ハンティングのための強力なプラットフォームとして、オープンソースのVelociraptorツールを紹介します。Velociraptorは、企業全体からフォレンジックのアーティファクトを引き出すことに長けているだけでなく、分析者にとって関心のある個々のホストを深く掘り下げるためのツールを提供しています。Velociraptorが多くの状況においてだけでなく、多くのオペレーティング・システムやアーキテクチャに役立つ柔軟なツールであることをお示しします。
Velociraptorの便利な機能のひとつは、収集したデータをElasticsearchにプッシュできることです。Elasticsearchもまた、あらゆるインシデント対応者のツールキットに適した強力で柔軟なツールです。そのため、Elasticsearchを使用して、Velociraptor、PowerShell IRフレームワーク、Kansa、Log 2 timelineツールからのデータを含むさまざまなデータ型を取り込み、処理します。それからKibanaにダッシュボードと可視化をセットアップして異常値解析を行い、大規模データセット全体で一般的な攻撃者のTTPを迅速に探索します。
EDRのログデータやVelociraptorやKansaのようなツールを使って侵害の恐れがあるネットワークを一通り確認した後は、より深堀りしていく必要がある一連のホストが必然的に見えてくるはずです。VelociraptorやCyLRのようなマルチプラットフォームツールなど、大規模な目標データ収集を迅速に行っていくためのオプションをご提示します。Velociraptorの場合、永続的なクライアント/サーバベースでインストールできますが、スタンドアロンのコレクタとしてもインストールできます。どのような場合においても敵の活動の進み具合を追跡するために重要となる成果物を収集するため、それらのツールを使用する方法をデモします。解析のために取得したデータを迅速に後処理することも、パズルの重要なピースの1つです。収集されたアーティファクトを迅速に取得し、Timesketch、Elasticsearch、または個々のアーティファクトのレビューで分析するためのソリューションを提示いたします。
セクション3では、従来のホスト・ベースのフォレンジック・アーティファクト分析に移行します。この日はまずランサムウェア攻撃など、Windowsシステムを攻撃する最新技術を紹介します。ランサムウェア攻撃やその他の標的型攻撃の前兆検知において、攻撃者が「環境寄生型攻撃」により検知を無効化することについてかなりの説明時間を費やします。攻撃者が組み込みのバイナリやスクリプト(aka 「LOLBAS」、 「Living-Of-Landバイナリとスクリプト」)を利用して、カスタムマルウェアをホストに持ち込むことなく目的を達成するテクニックは数多くあります。こうしたテクニックについて積極的に検知または遡及的に分析するのを学ぶのは、今日におけるシステム侵害を調査するために重要なことです。
Windowsに関する最初のディスカッションに続き、残りの時間はLinuxのインシデント対応と分析に焦点を当てます。大小さまざまな組織が、Linuxシステムを自社の環境に導入しています。Linuxに対する侵入はそれほど頻繁にニュースになるわけではないですが、攻撃者が脆弱なLinuxシステムを定期的に悪用し、被害を受けた組織に足場を築き、維持していることは周知の事実です。
FOR 608では、Linuxのシステムや構成に共通する脆弱性の概要を説明した後、これらのシステムを標的とする攻撃者による一般的な攻撃方法を採り上げます。権限の昇格、永続性、およびラテラル・ムーブメントは、Windows環境への攻撃によく使用される手法ですが、Linuxに対しても同様に適用されます。
続けて、Linuxシステムを分析する際のDFIRの基本的な事柄について採り上げます。しばしば混乱を引き起こすトピックとしては、Linuxディストリビューション、Linuxファイルシステム、論理ボリュームマネージャー、主要なログファイルの場所の違いなどがあります。Linuxシステムの初期におけるトリアージと、より深いフォレンジック分析の両方を扱う方法をご提示します。予期しないログイン、疑わしい新規ファイルまたは変更されたファイル、アプリケーションログ内の外れ値を検索する方法などは、悪意のある動作を特定するために使用される手法のほんの一部です。最後に、システムのハードニング、ロギング設定の強化、および将来の調査に役立つモニタリング機能の追加に関するベストプラクティスを紹介します。FOR608の主目標は、Linuxの侵入を調査する能力を受講生に提供することです。このコースを修了すれば、さまざまな企業ネットワークにおける大規模な侵入に対応するための重要な新しいスキルと技術を習得できます。
Windowsに対する最新の攻撃
Linuxログ分析
Linuxトリアージ・コレクションとフォレンジック対応
このコースでは、ホストベースのデータ収集、攻撃者を「現行犯」で捕捉するライブレスポンスツールの導入、疑わしい活動を大規模に発見するための「ビッグデータ」分析プラットフォームの活用など、さまざまなタスクに取り組んできました。また、Linux オペレーティングシステムを深く掘り下げ、これらのシステムに対する避けられない攻撃に対応するための重要な方法を発見しました。
次のモジュールでは、Apple社のmacOSオペレーティング・システムの主要な側面について見ていきます。これらのホストは、多くの企業ネットワークに普及するようになりました。このため、インシデント対応担当者は、このようなシステムに対応するための理解とトレーニングを積んでおくことが重要です。インシデントレスポンスの手法に入る前に、macOSおよびApple製モバイルデバイスの歴史と現在のエコシステムについて説明します。その後、Apple Filesystem(APFS)、ファイルとディレクトリ構造、Property List(plist)構成ファイルなど、Macの分析に重要なファイルタイプなどの重要なトピックに移ります。
基本的な事柄を説明した後、macOSのインシデントに対応するための課題とチャンスに目を向けます。ディスクやトリアージデータの取得方法、取得したデータのレビュー方法、疑わしい活動を発見するために最も有用なログやその他のアーティファクトなどの疑問について、すべて詳しく説明します。
LinuxとMacのフォレンジック分析の基礎を固めた後は、コンテナ型のマイクロサービスの概念に目を向けます。コンテナは、アプリケーションやサービスを信頼性と再現性の高い方法で展開するための一般的な方法です。コンテナの最も一般的なプラットフォームはDockerであり、FOR608ではここに注目しました。Dockerコンテナのアーキテクチャと管理に関するディスカッションは、学生が分析に集中する場所を理解するのに役立ちます。また、特定のトリアージワークフローを取り上げ、アナリストが迅速かつ効果的に対応するための反復可能なプロセスを身につけます。
APFSディスクイメージのマウントと解析
macOSのアーティファクトとログの確認
Dockerの管理およびログ
DockerのトリアージとIR
macOSの基礎知識
Appleのファイルシステム
Macインシデントレスポンス
企業におけるコンテナ
コンテナのためのDFIR
この日は、マイクロソフトとアマゾンの主要なクラウドプラットフォームにおけるインシデントへの対応に重点を置いています。分析対象はこれらのプラットフォームですが、ログ分析技術、アーキテクチャ設計、自動化の取り組みなど、あらゆるクラウドプロバイダに適用可能な内容を扱います。また、クラウド環境から仕掛けられた攻撃や、そのようなケースで残される可能性のあるアーティファクトについても取り上げます。
クラウド環境は、インシデントレスポンスにとってユニークな課題であると同時に、素晴らしい機会でもあります。これらの要素について簡単に紹介することで、1日のスタートを切ります。今回も、MITRE ATT&CK(R)フレームワークが、防御と検知を組織化するのに有効であることが分かりました。
Microsoft 365 (M365) とAzureに移動し、いくつかの人気のあるSaaSオファリングが議論されます。これらのサービスには、Exchange、SharePoint、Active Directory認証のようなホストされたサービスのためのM365とAzure ADが含まれています。多くの企業がこれらのサービスを利用しており、予想通り、攻撃者はこれらのサービスの実装の弱点を見つけることに長けています。そこで、M365とAzureに対する多くの一般的な攻撃シナリオについて見ていきます。これらのケースを解決するためには、ログ分析が重要であるため、ログの取得とレビューが議論の焦点となります。具体的には、一般的な検出方法として、Unified Audit Logs(UAL)から不審なユーザーのログオンやメールのアクティビティを探します。Azure AD Auditログ(およびその他に説明したもの)も有用なリソースです。
インシデント対応で重要なのは、復旧段階です。復旧段階には、通常、将来的に同様の攻撃を検知または防止するためのセキュリティ強化の実装が含まれます。そのため、M365とAzureにおけるより有用なセキュリティ強化のいくつかをカバーします。
第二部では、Amazon Web Services (AWS) のクラウドプラットフォームについて掘り下げます。AWSの一般的なアーキテクチャとコンポーネントについて説明し、AWSを初めて利用する方への基礎知識を提供します。そして、レスポンダーにとって重要な検知・分析データを提供する多くのログやサービスについて詳しく説明します。これにはCloudTrailログ、VPCフローログ、GuardDutyアラート、その他が含まれます。
このセクションでは、より迅速で効果的な分析を行うためのクラウドでのレスポンスのためのアーキテクチャに関する議論を締めくくります。これは、AWS内の安全なエンクレーブのためのセキュリティアカウントを設定することを含みます。また、ボリュームスナップショットやネットワークパケットキャプチャなどに対する分析を実行するために、テンプレートVM(AMI)を推奨しています。最後に、自動化できる一般的なIRタスクと、AWS LamdaとStep Functionsを使用してむしろシームレスにそれを行う方法について見ていきます。このセクションで紹介するソリューションはAWSを中心としたものですが、そのコンセプトは、組織が重要視するほぼすべてのクラウドプラットフォームに適用でき、そしてそれを適用すべきです。
M365ログ解析
攻撃者のクラウド エクスフィル インフラストラクチャを発見する
AWS CloudTrailのログ分析
AWS VPC Flowのログ解析
クラウドにおけるDFIR
AzureとM365におけるインシデントレスポンス
クラウドの攻撃者
AWSの基礎知識
AWSにおけるインシデントレスポンス
AWSでのIR自動化
第6章は、講義の締めくくりとして、これまでに得た知識を実践する場があります。これまでの5つのセクションで説明したツールやテクニックの活用に焦点を当てた、全く新しいCTF(Capture-the-Flag)スタイルの演習を提供する予定です。受講者には複数のホストOSとクラウド環境にまたがる危険な環境のデータセットが提供されます。
ライブ授業では、学生は少人数のチームに分かれ、この複雑なケースを最も効率的に解決するために、実際のインシデント対応シナリオと同じように、分析作業を分担して行う。
6日目 CTFチャレンジ