ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 503

Network Monitoring and Threat Detection In-Depth

Cyber Defense Essentials

English
日程

2023年6月26日(月)~7月1日(土)

期間
6日間
講義時間

1日目: 9:00-19:30
2日目~6日目: 9:30-19:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GCIA
講師
Andrew Laman|アンドリュー ラマン
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
46 point
受講料

【早期割引価格】1,080,000 円(税込み 1,188,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格 1,200,000円(税込み 1,320,000円)

申込締切日
早期割引価格:2023年5月26日(金)
通常価格:2023年6月16日(金)
オプション
  • GIAC試験  135,000円(税込み 148,500円)
  • OnDemand  135,000円(税込み 148,500円)
  • NetWars Continuous  235,000円(税込み 258,500円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

現在お申し込みを受け付けておりません

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC503 PC設定詳細

重要:M1プロセッサを使用するAppleシステムは、現時点では必要な仮想化を実行できないため、本コースに使用することはできません。

トレーニングイベントで提供されるLinux VMwareイメージをノートPCで実行し、クラスで行うハンズオンの演習に使用する必要があります。Linuxに慣れ親しみ、コマンドラインからコマンドを入力できるようにしておくと、ハンズオンの演習がスムーズに行えます。コースで使用するVMwareイメージはLinuxディストリビューションですので、授業に参加する前に、UNIXのコアコマンドを学ぶとともに、コマンドラインを使用して入力するLinux環境に慣れることに時間をかけることを強くお勧めします。

コアOSとしてWindowsMac OSXLinuxのどのバージョンを使用しても、現在のVMware仮想化製品をインストールし、実行することができます。またVMを正常に動作させるためには、8GB以上のRAMと、60GB以上のハードディスク空き容量が必要です。

授業の前に、VMware Workstation 14VMware Player 14、または VMware Fusion 10 またはそれ以上のいずれかをダウンロードしおよびインストールしてください。VMware WorkstationVMware PlayerVMware Fusionのライセンスをお持ちでない方は、VMware社から30日間の無料体験版をダウンロードすることができます。VMwareWebサイトでトライアルに登録すると、VMwareから期間限定のシリアルナンバーが送られてきます。

必須のラップトップハードウェア要件

  • x86またはx64対応の2.4GHz以上のCPU
  • USBポート
  • 8GBのRAMまたはそれ以上
  • 60GBのハードドライブ空き容量
  • Windows 10, Windows 11, Intel ベースのMacOSまたはIntel ベースのLinux
  • 上述のVMWare Workstation、Fusion、またはPlayer
  • Wi-fi
  • 機密データが保存されているノートパソコンは持参しないでください。SANSは、あなたのラップトップが盗まれたり、危険にさらされたりしても責任を負いません

適切な機器を持参し、事前に準備をすることで、学習内容を最大限に引き出し、楽しい時間を過ごすことができます。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)

SEC503 コース概要

SEC503は、情報セキュリティのキャリアにおいて、最も重要なコースの一つです。これまでに受講したクラスの中で最も難しいクラスであると同時に、最もやりがいのあるクラスであるとも言われています。このコースは、ネットワーク上のゼロデイ活動を情報公開前に発見したいと考えいる方には、適切なコースです。すぐに使える侵入検知システム(IDS)が発するアラートを単に理解しようとする人のためのものではありません。自分のネットワークで今何が起きているのかを深く理解し、どのツールも教えてくれないような非常に深刻なことが今起きているのではないかと疑っている人のためのコースです。 このコースが他のトレーニングと違うのは、ネットワーク侵入検知とネットワークフォレンジックを教えるのに、ボトムアップのアプローチをとっていることです。このコースでは、ツールの使い方から始まり、そのツールをさまざまな状況でどう使うかを教えるのではなく、TCP/IPプロトコルがどのように機能するのか、そしてその理由を教えます。最初の2日間で「第二言語としてのパケット」と呼ばれるものを検証した後、一般的なアプリケーションプロトコルと、新しいプロトコルを研究し理解するための一般的なアプローチを追加します。ゼロデイと既知の脅威の両方を特定するために、この知識を直接活用することができます。このようにネットワークプロトコルの仕組みを深く理解した上で、業界で最も広く使われているツールに目を向け、この深い知識を応用していきます。その結果、このクラスを終了するときには、ネットワークの計測方法を明確に理解し、詳細なインシデント分析と再構築を行うことができるようになります。

SEC503が重要であると私たちが考えている(そして学生からもそう言われている)のは、批判的思考力を養い、それをこれらの深い基礎に適用することを強制していることです。その結果、今日使用されている実質的にすべてのセキュリティ技術について、より深く理解することができるのです。今日の脅威環境においてネットワークのセキュリティを維持することは、特にクラウドへのサービス移行が進むにつれて、これまで以上に困難になっています。セキュリティの状況は、かつては境界線の保護だけだったものが、ほとんど常に接続され、時には脆弱な状態にある露出したシステムやモバイルシステムの保護へと絶えず変化しています。

SEC503では、TCP/IPの基礎理論や、DNSHTTPなどの最も使用されているアプリケーション・プロトコルをカバーし、ネットワーク・トラフィックに危険やゼロデイ脅威の兆候がないかどうかをインテリジェントに調べることができるようにするための具体的な技術知識と実習の一部を行います。tcpdumpWiresharkSnortSuricataZeektsharkSiLKNetFlow/IPFIXなど、さまざまなツールを使いこなすための練習をたくさんします。すべての経験レベルに適した毎日の実習は、知識を実行に移すことができるようにコースブックの材料を強化し、夜のBootcampセッションは、日中に学んだ理論をすぐに現実世界の問題に適用することを強制します。基本的な演習には補助的なヒントが含まれており、上級者向けのオプションでは、すでに内容を知っている学生や、新しい内容をすぐにマスターした学生にとって、より難しい体験ができます。

SEC503は、セキュリティアナリストやセキュリティオペレーションセンターで働く人など、ネットワークの監視、防御、脅威の探索を行う学生に最も適していますが、レッドチームのメンバーからは、特に検知されないようにするために、このコースを受講することで、より良いゲームができるとよく言われています。

できるようになること

  • SnortSuricataの設定と実行
  • 効果的かつ効率的なSnortSuricataFirePOWERのルールの作成と記述
  • オープンソースのZeekを設定・実行し、ハイブリッドなトラフィック解析フレームワークを提供できる
  • TCP/IPコンポーネントレイヤーを理解し、正常なトラフィックと異常なトラフィックを識別できる
  • トラフィック解析ツールを使用して、侵害やアクティブな脅威の兆候を特定する。
  • ネットワークフォレンジックを実施し、トラフィックを調査してTTPを特定し、アクティブな脅威を発見する。
  • ネットワークトラフィックからファイルなどのコンテンツを切り出し、事象を再現する。
  • BPFフィルタを作成し、特定のトラフィック特性を選択的にスケールで検査することができる。
  • Scapyによるパケットの作成
  • NetFlow/IPFIXツールを使用して、ネットワーク動作の異常や潜在的な脅威を発見する。
  • ネットワークアーキテクチャとハードウェアに関する知識を活用して、IDSセンサーの配置をカスタマイズし、オフラインでトラフィックをスニッフィングする。

SEC503のハンズオントレーニングは、初心者の方にもベテランの方にも親しみやすく、チャレンジングな内容になっています。各エクササイズには2つの異なるアプローチがあります。1つ目は、経験の浅い方向けのガイダンスとヒントを含み、2つ目はガイダンスを含まず、経験豊富な方向けとなっています。さらに、各エクササイズにはオプションで追加問題が用意されており、特に難易度の高いブレインティーザーを求める上級者のために用意されています。ハンズオン演習の一例は以下の通りです。

  • 1日目:ハンズオン:Wiresharkの紹介
  • 2日目:ハンズオン:tcpdumpフィルターの作成
  • 3日目:ハンズオン:Snortルールの作成
  • 4日目:ハンズオン:IDS/IPSの回避理論
  • 5日目:ハンズオン:3つの独立したインシデントシナリオの分析

教材の内容

  • 実践的な演習と問題を収録した電子ワークブック
  • TCP/IP電子チートシート
  • 全コースの講義を収録したMP3オーディオファイル

 

コース開発者より

1990年代半ばにネットワーク監視・侵入検知ツールの開発を始めたとき、市販されているソリューションや有意義なトレーニングがないことにすぐに気づきました。1998年末に、まさにこのコースの最初のバージョンに参加する機会を得て、すぐに自分の家を見つけたと思いました。それ以来、私は、ネットワーク監視、侵入検知、パケット解析は、企業内で最も優れたデータソースの一部であると認識するようになりました。これらを利用することで、インシデントが発生したかどうかを迅速に確認することができますし、経験豊富なアナリストであれば、数秒から数分で侵害の程度を判断することができます。本当の意味で、このコースはSANSが提供するコースの中で最も重要なものだと思います。防御者としてネットワークをこれまでとは全く異なる方法で考えるようになるだけでなく、「レーダーの目を潜り抜けたい」と考えているペネトレーションテスト担当者にとっても非常に重要な内容です。このコースで学ぶコンセプトは、情報セキュリティ組織のあらゆる役割に当てはまります。
- David Hoelzer

受講対象者

侵入検知(全レベル)、システム、セキュリティの各分野のアナリスト

  • 侵入の兆候をとらえるためのトラフィック分析ツールの使用方法を習得したい方。

ネットワークエンジニア/管理者

  • ネットワーク・エンジニア/管理者は、IDSセンサーを最適に配置することの重要性と、ログ・データやネットワーク・フロー・データなどのネットワーク・フォレンジックを使用することで、侵入を特定する能力をどのように高めることができるかを理解します。

ハンズオンセキュリティマネージャー

  • ハンズオンのセキュリティマネージャーは、侵入検知の複雑さを理解し、成功に必要なリソースを提供することでアナリストを支援します。

 

※SEC503は、GIAC(GCIA)認定試験対象コースです。

GIAC Certified Intrusion Analyst

GIAC Certified Intrusion Analyst は、ネットワークとホストの監視、トラフィック分析、および侵入検知に関する知識を検証する認定資格です。GCIA認定資格者は、侵入検知システムの設定および監視、ネットワークトラフィックおよび関連するログファイルの読み取り、解釈、分析に必要なスキルを有しています。

  • トラフィック解析とアプリケーションプロトコルの基礎
  • Open-Source IDS。SnortとZeek
  • ネットワークトラフィックのフォレンジックとモニタリング

講義内容

  • 他のヘッドラインにならないために、サイトを通過するトラフィックを分析する方法
  • ネットワーク監視ツールがシグネチャを公開していないゼロデイ脅威を特定する方法
  • ネットワークモニタリングの配置、カスタマイズ、チューニングを行い、最大限の検知を行う方法
  • 特にインシデント発生時のネットワークアラートのトリアージ方法について
  • いつ、何が、誰が、何をしたのかを明らかにするための出来事再現の方法
  • 様々なツールによる検出、分析、ネットワークフォレンジック調査のハンズオン
  • TCP/IPと一般的なアプリケーションプロトコルにより、ネットワークトラフィックを把握し、正常なトラフィックと異常なトラフィックを区別することができます。
  • シグネチャベースのネットワーク監視ツールを使用することで得られるメリットと特有の問題点
  • 企業全体の自動相関を実現する行動ネットワーク監視ツールの威力とその効果的な活用法
  • ネットワークアクティビティに対する効果的な脅威のモデリングを行う方法
  • ゼロデイ脅威の脅威モデリングを検出能力に変換する方法
  • フローおよびハイブリッドトラフィック解析フレームワークを使用して、従来型、ハイブリッド、およびクラウドネットワーク環境での検出を強化する方法
  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

トラフィック解析の基礎。パート1

概要

このコースの最初のセクションでは、TCP/IPプロトコルスタックをボトムアップでカバーし、TCP/IPの再確認または導入を行います。これは、私たちが「第二言語としてのパケット」と考えるコースの最初のステップです。受講生は、攻撃に関わる実際のパケットを収集することの重要性を学び、すぐに低レベルのパケット解析に没頭することになります。TCP/IP通信モデル、ビット、バイト、2進法、16進法の理論、IPヘッダーの各フィールドの意味と期待される動作など、必要不可欠な基礎知識を学びます。オープンソースのWiresharkとtcpdumpツールを使ったトラフィック解析の方法を紹介します。

この教材の焦点は、フィールドとその意味をただ闇雲に暗記することではなく、ヘッダーがなぜそのように定義されているのか、すべてがどのように連携しているのかを実際に理解することにあります。また、攻撃側と防御側の両方の視点からの議論により、既知および未知の(ゼロデイ)動作を特定するための脅威モデルの作成を開始します。

すべてのトラフィックは、Wiresharkとtcpdumpの両方を使って表示され、それぞれのツールの長所と短所が説明され、実演されます。受講者は、提供されたサンプルのトラフィックキャプチャファイルを見ながら、講師と一緒に学習を進めることができます。また、各トピックの後には複数のハンズオン演習を用意していますので、学習した内容を強化することができます。セクションの最後には、Bootcampスタイルのアクティビティで、すべてのコンセプトを実際のインシデントのトラフィックを使って実践的に適用します。

トピック

TCP/IPの概念

  • なぜパケットヘッダとデータを理解する必要があるのか?
  • TCP/IPの通信モデル
  • データのカプセル化/カプセル化解除
  • ビット、バイト、バイナリ、16進数の説明
Wiresharkの紹介
  • Wiresharkのナビゲーション
  • Wiresharkのプロファイル
  • Wiresharkの統計情報の検討
  • ストリームの再構築
  • パケット内のコンテンツの発見

ネットワークアクセス/リンク層 レイヤ2

  • リンク層の紹介
  • アドレス解決プロトコル
  • レイヤ2における攻撃と防御

IP Layer: レイヤ3

  • IPv4
    • 理論と実践におけるフィールドの検討
    • チェックサムとその重要性(特にIDS/IPSの場合)
    • フラグメンテーション フラグメンテーションに関わるIPヘッダフィールド、フラグメントの構成、フラグメント攻撃
  • UNIXコマンドライン処理

    • パケットを効率よく処理

    • 質問に対する回答やネットワークの調査のためのデータ解析・集計

    • 正規表現を使った高速解析

トラフィック解析の基礎。パート2

概要

第2セクションでは、第1セクションに引き続き、コースの「第二言語としてのパケット」の部分を終了し、今後のより深い議論のための基礎を築きます。このセクションでは、TCP/IPモデルで使用されている主要なトランスポート層のプロトコルについて深く理解していきます。さらに、Wiresharkとtcpdumpという2つの必須ツールについて、高度な機能を使って、自分のトラフィックを分析するためのスキルを身につけます。これらのツールの焦点は、WiresharkのディスプレイフィルターとtcpdumpのBerkeley Packet Filtersを使って、大規模なデータを興味のあるトラフィックにフィルタリングすることです。これらのツールは、TCP、UDP、ICMPをカバーするTCP/IPトランスポート・レイヤーの調査という文脈で使用されます。今回も、すべてのヘッダーフィールドの意味と期待される機能について議論し、現代のネットワーク監視に非常に重大な影響を与える多くの最新技術をカバーし、理論と機能だけでなく、攻撃者と防御者の視点からトラフィックを分析します。

今回も、付属のサンプルキャプチャファイルを見ながら、講師と一緒に学習を進めることができます。各主要トピックの後のハンズオンエクササイズは、学んだばかりの内容を強化する機会を提供します。

ブートキャンプの教材は、受講生を理論の世界から実世界への応用へと向かわせます。インシデント発生時のパケット解析や、その他多くの情報セキュリティや情報技術の職務に役立つ、コマンドラインデータ操作の実践的な仕組みを学びます。また、クラウドや従来のネットワーク上にどのようなシステムがあり、どのように通信しているのか、どのサービスが利用可能なのかを、アクティブスキャンを行うことなく理解するための有用なテクニックも紹介します。

トピックス
Wiresharkディスプレイフィルタ
  • Wiresharkのディスプレイ・フィルターを作成するための様々な方法の検討
  • ディスプレイ・フィルターの構成

BPFフィルタの作成

  • BPFの普遍性とフィルタの有用性
  • BPFフィルタのフォーマット
  • ビットマスキングの使用

TCP

  • 理論と実践におけるフィールドの検討
  • パケットディスセクション
  • チェックサム
  • 正常なTCPと異常なTCPの刺激と反応
  • IDS/IPSにおけるTCP再構築の重要性

UDP

  • 理論と実践の分野の検討
  • UDPの刺激と応答

ICMP

  • 理論と実践におけるフィールドの検討
  • ICMPメッセージを送信してはいけない場合
  • マッピングと偵察での使用
  • 通常のICMP
  • 悪意のあるICMP

IPv6

  • ファンダメンタルズ
  • IP6での改善点
  • マルチキャストプロトコルとIP6による活用方法
  • IP6脅威

実戦で使える ネットワークに関する調査

  • トップトーカーは誰なのか?
  • 人々は何に接続しているのか?
  • 私たちのネットワークではどんなサービスが動いているのか?
  • どのような東西のトラフィックが存在するのか?

シグネチャベースの脅威の検知と対応

概要

セクション3では、最初の2つのセクションの基礎をもとに、アプリケーション層のプロトコルの世界に入ります。

この知識を用いて、クラウド、エンドポイント、ハイブリッドネットワーク、従来のインフラで使用される脅威検出のための最先端の検出メカニズムに飛び込みます。パケットの操作、作成、読み取り、書き込みが可能なPythonベースの非常に強力なツールである多用途パケットクラフティングツール「Scapy」を紹介します。Scapyは、監視ツールや次世代ファイアウォールの検知能力をテストするためのパケットを作成するために使用することができます。これは、最近発表された脆弱性など、ユーザーが作成した新しいネットワーク監視ルールが追加された場合に特に重要です。コース全体を通して、Scapyのさまざまな実用的なシナリオと使い方が提供されます。

このセクションの全体的な焦点は、Snort(またはCisco FirePOWER)および/またはSuricataを使用し、効率的で効果的なルールを書くことを学ぶことです。ルール作成の基本をいくつか紹介した後、セクションの後半では、これらの脅威検出ツールの機能をより多く紹介し、最も広く使用され、時には脆弱なアプリケーションプロトコルの文脈で機能と欠陥を探求していきます。DNSHTTP(S)HTTP2HTTP3Microsoft通信などです。ネットワーク監視、脅威の検出、ネットワークフォレンジックにおいて重要なスキルであるプロトコル解析に重点を置いています。Wiresharkのその他の機能については、インシデント調査やトラフィックデータの指標に基づくイベントのフォレンジック再構築の文脈で検討されます。

コースの最後には、QUICと新しいプロトコルの調査方法について説明し、SnortSuricataのスキルを実際に使用しながら、実際のデータからアラートを処理する方法を学びます。

トピックス

Scapy

  • Scapyを使ったパケット生成と解析
  • ネットワークやpcapファイルへのパケットの書き込み
  • ネットワークやpcapファイルからのパケットの読み込み
  • Scapyを使ったネットワーク解析とネットワーク防御の実践

Wiresharkの応用

  • ウェブやその他の対応オブジェクトをエクスポート

  • 任意のアプリケーションコンテンツの抽出

  • Wireshark によるインシデントの調査
  • SMBプロトコルのアクティビティを分析するための実用的なWiresharkの使い方
  • Tshark

Snort/Suricataの紹介

  • ツールの設定と基本的なログの取得
  • シンプルなルールの書き方
  • 共通オプションの使用

効果的なSnort/Suricata

  • 超大規模ネットワークのための真に効率的なルールの記述に関するより高度な内容
  • 簡単に回避されない、柔軟なルールの書き方を理解
  • Snort/Suricataの「Choose Your Own Adventure」アプローチで、すべてのハンズオンアクティビティを実施
  • 進化するエクスプロイトを段階的に検証し、あらゆる形態の攻撃を検知するため、ルールの段階的な改善
  • Snort/Suricataのアプリケーションレイヤープロトコルへの適用について

DNS

  • DNSのアーキテクチャと機能
  • DNSSEC
  • キャッシュポイズニングを含む悪意のあるDNS
  • DNSの脅威活動を特定するためのルール作成

マイクロソフトプロトコル

  • SMB/CIFS
  • 検知の課題
  • Wiresharkの実用的なアプリケーション

最新のHTTP

  • プロトコルのフォーマット
  • このプロトコルが進化している理由と方法
  • 検知の課題
  • HTTP2HTTP3での変更点

プロトコルの研究方法

  • QUICをケーススタディとして活用
  • GQUICIETF QUICの比較

注目すべきトラフィックの特定

  • 大規模なパケットリポジトリから異常なアプリケーションデータを見つける
  • 関連レコードの抽出
  • アプリケーションの調査と分析

ゼロデイ脅威の検知システムの構築

概要

最初の3つのセクションで得た基本的な知識は、セクション4で最新のネットワーク侵入検知システムについて深く議論するための基礎となります。これまでに学んだことを総合して、Snort/FirePower/Suricatの最適な検知ルールの設計に応用し、さらにZeek (またはCorelight)を使った振る舞い検知にも応用します。

まず、侵入検知・防御装置の特徴を含むネットワーク・アーキテクチャに関する議論と、スニッフィングしてトラフィックをキャプチャして検査することができる装置のオプションと要件に関する議論を行います。このセクションでは、導入オプションと考慮事項の概要を説明し、受講者はそれぞれの組織に適用される可能性のある特定の導入考慮事項を検討することができます。

その後、TLSについて、どのように変化したのか、必要なときにデータを傍受して復号化する方法について調べ、コースを通じて培った深いプロトコル知識に基づくトラフィック分析で、暗号化されており鍵を持たないネットワークストリームを特定し分類する方法を検討します。

このセクションでは、Zeek/Corelightを紹介し、その機能とロギング機能を実際に体験していただきます。基本的なスクリプトを紹介した後、Zeekのスクリプト言語とクラスタベースのアプローチを使用して、異常ベースの行動検出機能を構築することに移行します。

Zeekの基本的な使い方を習得した後、講師は実践的な脅威分析および脅威モデリングプロセスを紹介します。さらに、この行動分析および脅威モデリングのアプローチを用いて、業界で使用されているシグネチャベースの検出パラダイムのギャップを埋め、未知の脅威に対するゼロデイ脅威検出機能を構築する方法を実践的に示します。

このセクションの最後には、攻撃者がネットワーク監視機能を回避する方法について、現在のすべてのネットワーク監視ツールに対して機能するいくつかの「ゼロデイ」回避テクニックを含め、議論します。Bootcampの教材は、理論から実世界の状況での実践的な使用へと学生を移行させます。最終日のキャップストーンに向けて、これまで学んだテクニックをすべて応用し、分析中のインシデントに対する理解をさらに深めていくことになります。

トピックス

ネットワークアーキテクチャ
  • トラフィック収集のためのネットワークの計測
  • ネットワーク監視と脅威検知の展開戦略
  • トラフィックを収集するためのハードウェア

規模に応じたネットワーク監視入門

  • ネットワーク監視ツールの機能
  • 検出におけるアナリストの役割
  • 分析フロープロセス

Zeek

  • Zeekの紹介
  • Zeekの動作モード
  • Zeekの出力ログとその利用方法
  • 実践的な脅威分析・脅威モデリング
  • Zeekのスクリプティング
  • Zeekを使った関連行動の監視と相関関係の構築

IDS/IPS回避理論

  • 異なるプロトコル層における回避の理論とその意味
  • 回避のサンプリング
  • ターゲットベース検出の必要性
  • ゼロデイ監視の回避

大規模な脅威の検知、フォレンジック、アナリティクス

概要

このセクションでは、形式的な指導を少なくし、ハンズオン演習でより実践的な応用を行うという傾向が続いています。このセクションでは、NetFlowIPFIXを使用したデータ駆動型の大規模な分析・収集から始まり、3つの主要な領域をカバーします。コースの最初のセクションで開発された深いプロトコルの背景を持つNetFlowは、私たちのクラウドと従来のインフラストラクチャで脅威のハンティングを実行するための信じられないほど強力なツールになるのです。基本を押さえた上で、NetFlowクエリを使ったより高度な解析と脅威の検知、およびカスタムNetFlowクエリの構築について説明します。2つ目のエリアでは、大規模な解析をテーマに、トラフィック解析の紹介を行います。ネットワークレベルでゼロデイ脅威を発見するための様々なツールやテクニックを紹介し、実習で実践していただきます。また、異常検知のための人工知能や機械学習技術の最先端アプリケーションについても議論し、デモンストレーションを行います。最終的には、ネットワークフォレンジックとインシデントの再構築を学びます。コース全体のツールやテクニックをすべて活用し、3つの詳細なハンズオンインシデントに取り組みます。

トピックス

ネットワーク・フロー・レコードの使用

  • NetFlowとIPFIXのメタデータ解析
  • SiLKを使った注目イベントの発見
  • NetFlowデータによる横方向の動きの特定

  • カスタムNetFlowクエリーの構築

スレットハンティングとビジュアライゼーション

  • ネットワークにおける企業規模でのネットワーク脅威ハンティングを行うための様々なアプローチ
  • ネットワークの挙動を可視化して異常を特定するアプローチに関する演習
  • データサイエンスによるセキュリティ運用の効率化と脅威のハンティングへの応用
  • AIを活用し、防御されたネットワーク上のネットワークプロトコルの異常を特定するシステムを実験中

ネットワークフォレンジック解析入門

  • ネットワークフォレンジック解析の理論
  • 搾取のフェーズ
  • データ駆動型解析とアラート駆動型解析の比較
  • 仮説駆動型ビジュアライゼーション

高度なネットワーク監視と脅威の検出の仕上げ

概要

このコースの最後には、スコアサーバーをベースにした楽しいハンズオンのIDSチャレンジがあります。最初の5つのセクションで学んだツールや理論を使用する必要がある多くの質問に答えるために、学生はソロプレイヤーまたはチームで競い合います。提示される課題は、一刻を争うインシデント調査の状況下で、何時間もの実戦的な実データに基づいています。この課題は、プロのアナリストのチームが同じデータに対して行った分析に基づいて、学生が質問に答えるという「ライド・アロング」イベントとして設計されています。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ