ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 509

Enterprise Cloud Forensics and Incident Response

Digital Forensics and Incident Response

English
日程

2021年11月15日(月)~11月18日(木)

期間
4日間
講義時間

1日目: 9:00-17:30
2日目~4日目: 9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
講師
Joshua Lemon|ジョシュア レモン
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
24 Points
受講料

690,000円(税込み 759,000円)

申込締切日
2021年11月5日(金)
オプション
  • NetWars Continuous  190,000円(税込み 209,000円)
  • OnDemand 価格:105,000円(税込 115,500円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR509 PC設定詳細

重要!次の手順に従ってシステムを構成してください。

このコースに全て参加するには、適切に構成されたシステムが必要です。次の指示を注意深く読んで従っていただけない場合、このコースに不可欠となっている演習に参加できず、講義を満足できないままにしてしまう可能性があります。指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。

ほとんど常識であるとはいえ、再度お伝えしなければならないことがあります。講義の前にシステムのバックアップを取ってください。また、システムに機密データを保存しないようにしてください。SANSはシステムやデータに対して責任を負いません。

必須のノートパソコンのハードウェア要件

  • CPU:Intel互換64 bit(必須) 2.0GHz以上の CPU i5、i7(第4世代以上)
  • 64ビットゲスト仮想マシンをラップトップで実行するには、CPUとオペレーティングシステムが64ビットをサポートしていることが必要です。Vmwareは、ホストが64ビットゲスト仮想マシンをサポートしているかどうかを検出するWindows用の無償ツールを提供しています。このドキュメントでは、さらにトラブルシューティングを進めるために、WindowsユーザーがCPUとOSの機能の詳細を判断するための適切な手順についても説明します。Macの場合は、Appleのこのサポートページを使用して64ビットで稼働しているかどうかを確認してください。
  • RAM:16GB以上(最小必須)
  • USB:3.0 Type-A(必須)
  • HDD/SSD:最低350GB以上の空き容量(より大容量を推奨)
  • NW:802.11無線LAN
  • その他:BIOSが仮想化機能をサポートし、有効に設定していること(Intel VTなどの仮想化テクノロジ)
  • その他:USBメモリの読込ができること
  • その他:ホストOSのローカルアドミニストレーター権限

必須のノートパソコンのオペレーティングシステム要件

  • OS:Windows 10 ProまたはMaxOS X 10.15以上の最新バージョン
  • 注意 :最新のUSB 3.0デバイスを利用するためのドライバとパッチがインストールされていることを確認するため、講義の前にホストのオペレーティングシステムを完全にアップデートしてください。
  • 注意 : M1プロセッサ搭載のapple社製品は現時点で必要な仮想化を行うことができないため、使用できません。

必須のノートパソコンのソフトウェア要件(下記を事前にインストールしてください)

  1. VMware Workstation Pro 15.5以上、VMware Player 15.5以上、またはVMware Fusion Pro 11.5以上をダウンロードしてインストールしてください。ライセンスをお持ちでない方は30日間のトライアルライセンスが利用可能です。
  2. 7zip(Windows)、Keka(Mac OS)をダウンロードしてインストールしてください。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されます。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ノートパソコンの設定に関して追加で質問がある場合は、sans-info@nri-secure.co.jp (NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)

FOR509 コース概要

クラウドの中でおこっている嵐について、理解しましょう。

FOR509: Enterprise Cloud Forensics and Incident Response では、次についてのあなたの理解を支援します。

  • クラウドのみで利用が可能なフォレンジック用のデータ理解
  • DFIRのためのクラウド・ロギングのベスト・プラクティスの実装
  • クラウド環境における優先順位付け(トリアージ)の迅速かつ適切なハンドリング
  • Microsoft Azure、AWS、Google Workspaceのリソースを活用して証拠を収集する方法
  • アナリストがレビューのために利用できるMicrosoft 365の機能
  • フォレンジックのプロセスをクラウドに移行する方法


このEnterprise Cloud Forensicsのコースでは、大手クラウドサービスプロバイダ(Microsoft Azure、Amazon AWS、Google Workspace)において、従来のオンプレミス環境では得られなかった新たな証拠(ソース)を用い、何を新たに実施できるのか確認していきます。ネットワークトラフィックのモニタリングから、証拠保全のためのハイパーバイザの直接的な操作まで、クラウド環境におけるフォレンジック調査というのは決して終わることが無く、新しい技術と能力によって生まれ変わっていくものです。


フォレンジック調査の新たな世界は続いていきます。重要なリソースをMicrosoft 365のようなクラウドに移行する組織が増えています。フォレンジック調査の担当者は、リカバリを行うために電子メールサーバやデータストアに直接アクセスすることができなくなっています。つまり、同じデータを再作成するための新しい方法を学ぶ必要があります。しかし、なぜ再作成について取り上げるのでしょうか。新しいプラットフォームでは、適切に構成されていれば、以前だったら容易にアクセスできなかったデータにアクセスできるようになっているとともに、迅速に検知やリカバリを行うことができるようになっているためです。


データの保存場所や保存方法を変更すると、フォレンジック調査はできなくなってしまっているという誤った思い込みにつながることがあるようです。クラウドによって、フォレンジック調査にはオンプレミスの世界には存在しない新しい機能と深みが与えられます。クラウドにのみ存在する新しい証拠ソースの保存、構成、および調査について学びます。フォレンジック調査をクラウドに取り込む方法や、環境内で優先順位を付ける方法について学びます。絶え間なく更新されているこのエンタープライズクラウドフォレンジックコース (FOR 509) は、フォレンジック調査の担当者が、最も価値あるデータがアップロードされているエンタープライズクラウド環境の急速な変化に対応できるようにする、という今日的なニーズに対応するものです。


コース全体にわたる多数の実践的なラボ演習により、コースに参加されるフォレンジック調査の担当者は、過去の著名な事件や調査に基づき作成された証拠に触れることができます。そして、データをどこから引き出し、どうやって分析して悪事を見つけられるか、その方法を学ぶことになります。


フォレンジック調査の以前、調査の真っ最中、調査の後と時間を追って、クラウドのリソースは時々刻々と変化していきます。FOR 509:Enterprise Cloud Forensicsは、あなたが将来フォレンジック調査で必要とするであろうログの取得を始め、また、お持ちのデータを処理・自動化できるように、あなたとあなたのチームをトレーニングします。


FOR509 ENTERPRISE CLOUD FORENSICS のコースを通じ、次のことが可能になります。

  • データの場所にかかわらず、効果的に状況を把握、識別、情報収集するためのツール、テクニック、手順を学び、マスターする。
  • クラウド環境のみで利用できる新しいデータの把握と活用
  • Elastic Stackなどのスケーラブルなテクノロジを使用して、大規模なデータセットを迅速にパースおよびフィルタリングする
  • さまざまなクラウド環境で攻撃者をプロファイルする方法を学ぶ
  • さまざまなクラウド環境で利用可能なデータを理解する


FOR509 ENTERPRISE CLOUD FORENSICS コースのトピック

  • クラウドインフラストラクチャとIRデータソース
  • Microsoft 365
  • AWSでのインシデント対応
  • Azureでのインシデント対応
  • GCPでのインシデント対応


このコースで受講者が受け取るもの

  • SOF-ELK (R) の仮想マシン -Elastic Stackとコース開発者がカスタム設定したダッシュボードを実行する一般公開のアプライアンス。AWS、Azure、GCPからクラウドのログを取り込むようにあらかじめ設定されており、典型的なフォレンジック調査中に取り扱うであろう数億件もの記録を読解する際に利用されます
  • 講義で調査を行う、リアリスティックなケースのデータ
  • ケース、ツール、マニュアル
  • クラウドでフォレンジック調査を理解するのに役立つ、詳細手順と事例が記載された演習資材


次のステップ


FOR518: Mac and iOS Forensics Analysis and Incident Response
FOR585: Smartphone Forensic Analysis In-Depth
FOR572: Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
SEC541: Cloud Security Monitoring and Threat Detection

受講対象者

  • インシデント対応チームに所属しており、ソフトウェア、インフラストラクチャ、プラットフォームに影響を与えるセキュリティインシデント/侵入に対応する必要がある方またはエンタープライズクラウド全体で侵害されたシステムを検知、調査、修復、および復旧する方法を知る必要がある方
  • 脅威について完全に理解し、より効果的に脅威を追跡し、その策略に対抗するために学んでいく方法を求めている、脅威ハンター
  • SOCアナリストで、アラートについての理解を深め、イベントの優先順位付けに必要なスキルを構築し、クラウド・ログ・ソースを完全に活用することを検討されている方
    経験豊富なデジタルフォレンジックアナリストで、クラウドベースのフォレンジックに対する理解を強化したいと考えている方
  • データ漏洩事件やデータ侵害への対応を直接サポートする、情報セキュリティの専門家
  • 高度な侵入調査とインシデント対応を習得し、従来のホストベースのフォレンジック調査の枠を超えて調査スキルを拡張したいと考えている捜査担当者および法執行の専門家
  • SANS FOR 500、FOR 508、SEC 541、SEC 504の既受講生で、クラウドベースのフォレンジック調査をスキルに追加したいと考えている方

前提条件

FOR 509は、クラウドインフラストラクチャとログ分析に焦点を当てた中級から上級のコースです。このクラスでは、他のSANSクラスで学習した内容を補強、置換、または拡張するようにできており、クラウドプロバイダによって作成されたデータを利用する方法について説明します。

次のコースの受講経験があると、このコース受講に有利です。

FOR500: Windows Forensic Analysis
FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics
SEC488: Cloud Security Essentials

または、関連する過去の経験がある場合についても、受講にあたって有利です。

コース開発者より

多くのDFIR専門家は、クラウドを「他人のコンピュータ」と一蹴し、フォレンジック活動の新たな証拠となる可能性を見過ごしてきました。しかし、攻撃者はクラウドのテナントを完全に攻撃・攻略することなしに監査ログを消去できないという点から、ハードウェア追加なしに1行のコード/クリックでNetflowデータを有効にできるといった点に至るまで、クラウドの利点を受け入れるDFIR専門家にとっては、新しい可能性が提供されれます。

FOR 509のコースは、クラウドベースの調査を理解し、分析し、解決する上での足がかりとなるように作成されています。市場で最もポピュラーなクラウドソリューションをカバーし、受講生がデータを解釈する方法を取り扱うだけでなく、検出と応答の能力を次のレベルにするための理解を促進します。クラウドの自動化、オンデマンドでの柔軟なインフラストラクチャ、スタンバイ状態でのクラスタ処理などにより、受講生が所属する組織はどのような規模のイベントにも対応できるようになります。我々はこれまでにいくつもの大規模ネットワーク侵害に対処してきたわけですが、クラウドにおいても同じことができるようになる準備ができていることをこのコースを通じてお示しします。
 - David Cowen

我々がこれまでオンプレミス環境において防御を行って成功を収めてきたのと同じように、この新たなピカピカなソリューションである「クラウド」は戦いの環境を根本的に変えてきています。企業は自社のシステムやデータを猛スピードでクラウドに移行しており、われわれは企業を守るものとして、安全を確保するための新たな戦略やノウハウを切望しています。物理システムに直接アクセスできないということは、従来のフォレンジックにおける手法の多くがもはや機能しないことを意味しています。ですが幸いなことに、クラウド環境のためのツールやログにより、インシデントに迅速かつ適切に対応できるようになっています。FOR 509では、スキルをクラウド環境で必要なレベルに引き上げるために、ツールやテクニックを検証します。
 - Pierre Lidome

世の中の組織は、ITインフラストラクチャとオンラインアプリケーションを構築するためのスピーディーで柔軟な方法を急進的に確立するがため、オンプレミス環境におけるインフラストラクチャ、インシデント対応、デジタルフォレンジック調査チームが長年にわたって構築した「可視性」を置き去りにしてしまっています。さらに、クラウドの新しい機能やサービスが急速に導入されているため、インシデント対応の専門家は、セキュリティインシデントが発生した際にどのような証拠を入手できるかを把握するのが困難になっています。FOR 509のコースでは、インシデントレスポンスとデジタルフォレンジック調査の専門家の両方に、どのような証拠が利用可能か、世の中で最も利用されている3つのIaaSとSaaSクラウドにおいて、証拠をどのように入手・解釈できるかについての知識とスキルを提供します。あなたやあなたの組織がクラウド基盤を使用しているのであれば、このクラスは脅威アクターに対して優位に立つために必須なものです。
 - Josh Lemon

  • DAY1
  • DAY2
  • DAY3
  • DAY4

FOR509.1: Cloud Forensics Fundamentals and Microsoft 365

概要

あなたに発見していただかなくてはならないデータの世界があります。

クラウド・データの世界を探索する前に、まず、クラウドのデータがどこに、どのように存在するかを知る必要があります。この日の講義では、最も一般的なクラウドのアーキテクチャ(IaaS、PaaS、SaaS)のそれぞれでフォレンジック調査がどのように変わるかについて学びます。この日の講義を通じ、各アーキテクチャそれぞれで、どのような種類のログとデータアクセスが提供されるのかと、どのようにデータ抽出・処理を行うかを理解します。

まず、SOF-ELKについてご紹介します。これは、企業やネットワークのフォレンジック向けに開発されたオープンソースのディストリビューションであり、クラウドのフォレンジックで利用していくための分析機能を備えています。次に、クラウド・ベースのサービスであるMicrosoft 365を取り上げます。Microsoft 365では、ExcelやWordなどのアプリケーションを含むMicrosoft Officeデスクトップ・スイートが提供されます。Microsoft 365には、さらに 「Exchange」 「SharePoint」 「Skype」 「Teams」 など、さまざまなコミュニケーションツールやコラボレーションツールが実装されています。

演習

演習0:SOF-ELK VMのインストール
講義の前に、受講生はSOF-ELK VMをインストールする必要があります。

演習1.1:SOF-ELKによるデータ可視化
この演習では、Kibanaでデータを検索および可視化する方法を学習します。また、独自のダッシュボードの作成方法も学習します。Kibanaダッシュボードを使用すると、分析者は要約された統計と特定のシナリオの定義済みフィルタを表示できます。

演習1.2:BECのソースの特定
受講生は、SOF-ELKの統合監査ログを確認して、ビジネスメールの侵害元を特定します。ユーザーエージェントを利用することで、受講生はIPジオロケーションと送信元IPアドレスを利用して、敵対的なエージェントをプロファイルし、特定することができます。

トピックス

モジュール1.1:クラウドとは

  • コースの目的
  • クラウドのメリット
    • レジリエンス
    • 応答性
    • DFIR
  • クラウドの種類
    • IaaS
    • PaaS
    • SaaS
  • 責任共有モデル
  • ログ階層
  • クラスフォーカス
  • なぜクラウドを直接使わないか

モジュール1.2:SOF-ELKの紹介

  • SOF-ELKアーキテクチャ
  • Logstash
  • Kibanaによるフィルタリング
    • ダッシュボード
    • 発見
    • 可視化

モジュール1.3:Microsoft 365 統合監査ログ (UAL)
  • Microsoft 365へのPowerShellセッションの接続
  • UALのプロパティ
  • UALの検索
  • UALワークロード
    • SharePoint
    • チーム
    • OneDrive
  • 特殊な例:Exchangeワークロード
  • メールクライアント
  • Azure Active Directory



FOR 509.2:Amazon AWS

概要

クラウドで可能なことや、我々が利用できる新たなDFIR用の証拠ソースを理解したいま、クラウドサービスのマーケットリーダーに目を向ける時が来ました。このセクションでは、AWSをレスポンダーに使用する方法、独自開発の分析システムや調査のための新しい関連ログをリージョンにデプロイする方法、それらを統合する方法について学びます。演習のシナリオは、AWSでよくあるケースについて、受講生がスピーディーに解決可能になるように意図して作られています。

演習 2.1:CloudTrailログの確認

このラボでは、CloudTrailからエクスポートされたログを使用して、アカウント乗っ取りの可能性を特定します。コンソールアクセスとAPIキーアクセスの複数のシナリオについて学び、これらの攻撃を検出して追跡する方法を学習します。

演習2.2:不正なVMの検出

このラボでは、エクスポートされたCloudTrailログを使用して、攻撃者によって作成された異なるタイプのEC 2インスタンスが作成された場所を特定します。

演習 2.3:VPC Flowログの分析

このラボでは、VPC Flowのログを使用して大規模なデータ漏洩の証拠を見つけます。さらに、ビーコントラフィックを検索して、侵害の兆候を定義することもできます。

演習2.4:S3分析

この演習では、S3のアクセスログを使用して、S3バケットからのデータ漏洩の証拠を見つけます。

演習 2.5:ラテラルムーブメントの追跡

このラボでは、最初にIAMが破られた時からデータが侵害されるまで、インシデントを追跡するために複数のログソースを使用します。

演習 2.6:コンテナの調査

このラボでは、CloudTrailのログとVPCのログを使用して、侵入されたKubernetesクラスターを追跡し、インシデントを追跡します。

トピックス

モジュール 2.1:AWSの理解

  • 体系
  • IAM
  • 責任共有モデル
  • CloudTrail
  • CloudTrailのアクセス方法
  • CloudTrailの価格設定
  • CloudTrailでの脅威ハンティング
  • GuardDuty

 

モジュール2.2:ネットワーキング、VM、およびストレージ

  • 仮想コンピューティング
    • EC 2のタイプ
    • EC 2 CloudTrailのログ
  • 仮想ストレージ
    • EBSタイプ
      EBS CloudTraiのlログ
    • SnapShot
    • SnapShotの価格
    • SnapShot CloudTrailログ
    • EFSのタイプ
    • EFS CloudTrailログ
  • 仮想ネットワーク
    • VPC
    • サブネット
    • VPCフローログ
    • VPCフローログ料金
  • S 3バケット
    • アクセス方法
    • ポリシー
    • DFIRの使用
    • S3アクセスログ
    • S3アクセス・ログの価格設定
  • Route 53

 

モジュール 2.3:IRのログソース

  • CloudTrailの改良
  • Athena
    • Athena価格
  • Cloudwatchログ
    • Cloudwatch Logsの価格設定
  • Cloudwatchのログからの洞察
  • GuardDutyによる統合
  • セキュリティハブ
  • AWS Detective

 

モジュール 2.4:イベント・ドライブ・レスポンス

  • Lambda
  • Stepの機能
  • APIゲートウェイ
  • イベントトリガー
  • イベント駆動型のDFIR自動化

 

モジュール2.5:クラウド内でのIR
  • IR VMのアップロード
    • AMIとIR
    • Dockerレジストリ
  • マシンイメージのダウンロード
    • 通常はよくないアイディア
  • メモリのキャプチャ
  • ディスクへのアクセス
  • ホストの分離
  • 隔離されたクローンのスピン・アップ
  • 侵害されたシステムが存在する場所の特定
  • コンテナ
    • AKS
      ECS
    • Cloudtrailのログ
    • 最も一般的な調査
  • データベース
    • Cloudtrailのログ

FOR 509.3:Microsoft Azure

概要

大企業向けで最も人気のあるクラウドプロバイダの1つは、Microsoft Azureクラウドです。Azureは非常に多くのサービスを提供しており、そこには多くのデータソースが含まれています。このセクションでは、さまざまなAzureのアクティビティと診断ログについて学びます。最後に、独自の分析ツールをクラウドにデプロイする方法について説明します。

演習

演習3.1:SOF-ELKとAzureログの使用

この演習では、Azure indexを確認し、pymtechlabs.comのユーザーとマシンを特定します。

演習 3.2:AADパスワードスプレー

このラボでは、Azure Active Directoryログを使用し、パスワードスプレー攻撃を特定します。

演習 3.3:リソース作成の追跡

この演習では、暗号化マイニングを目的として作成される仮想マシンの例を確認します。

演習3.4:データ消失の検出

この演習では、NSGフロー・ログとストレージ・ログを使用して、データの抜き出しを追跡します。

トピックス

モジュール 3.1:Azureの理解

  • Microsoft Azureの世界規模での拡大
  • テナントとサブスクリプション
  • Azureリソースマネージャ
  • リソースグループ
  • DFIRの主なリソース
  • AzureリソースID文字列
  • ロールベースのアクセスコントロール
  • 価格設定
  • DFIRワークステーションを構築する

モジュール3.2:ネットワーキング、VM、およびストレージ

  • Azureコンピューティング
  • VMタイプ
  • ケーススタディ:暗号マイニングVM
  • Azure仮想ネットワーク
  • ネットワークセキュリティグループ
  • ストレージ
    • Blob
    • 管理対象ディスク
  • Microsoft Azureへのアクセス
    • ポータル
    • CLI
    • PowerShell

モジュール 3.3:IRのログソース

  • ログのソース
  • ログ分析ワークスペース
  • テナントログ
    • ログインログ
    • ログインの成功例と失敗例
    • 監査ログ
    • 分析クエリのログ
    • ケーススタディ:ログイン不可の場合
    • Azureストレージエクスプローラ
    • JSONへのエクスポート
    • SOF-ELKへのインポート
    • イベントハブ
    • グラフAPI
  • Subscriptionログ
    • ログスキーマ
    • ポータルのアクティビティ・ログの表示
    • ログ分析の例
    • ストレージ・アカウントとイベント・ハブ
    • SOF-ELKへのインポート
  • リソースログ
    • NSG Flowのログ
    • トラフィック分析
    • SOF-ELKへのインポート

モジュール3.4:仮想マシンログ

  • Windowsエージェント
  • Windows Azure Diagnostics (WAD)
  • WADイベントログテーブル
  • SOF-ELKへのインポート
  • ユーザーログインの検索
  • 可視化の一例
  • Linuxログ
  • SOF-ELKへのインポート
  • VMについての考察

モジュール3.5:クラウド内IR

  • クラウド内のドライブのイメージング
  • クラウド内での調査
    • スナップショット
    • フォレンジックVMの作成
    • フォレンジックツールの実行
  • フォレンジックVMの移植性
  • Azure Defender
  • Microsoft Defender for Identity
  • Azure Sentinel

FOR 509.4:Google Cloud (GCP)

概要

Google Cloud Platform (GCP) はさまざまなサービスを提供しており、AWSやAzureなどと比べるとアイデンティティアクセス管理のあり方が根本的に違っているとともに、インシデント対応チームにとって極めて有用なセキュリティや証跡にかかわる仕組みが多く組み込まれています。GCPプラットフォームでは、ビルトインの監査、エージェントベースのロギング、ELKなどの外部ログ分析ツールを組み合わせて使用します。この日の講義では、GCPに関する知識をあまり持たないDFIRの担当者に対し、GCPに対してよくある攻撃を調査する方法を示します。

演習

演習 4.1:GCP IAMとアクセス追跡

GCP Audit Logsを使用して、KibanaおよびGCPログでログインソースのプロファイル作成、分析、および要約する方法を学習します。

演習 4.2:Google VM Logging Agent-エージェントログ分析

GCPのAgent Logsによって生成されるログと、それらを使用してGCP内で侵害されたVMを分析する方法について学習します。

演習4.3:Storage Exfil Abuse

GCP Storage Bucketでの持ち出しを追跡するために使用できるログのタイプと、追加の監査ログが有効になっていない場合に持ち出しを追跡するための追加のテクニックについて学習します。

演習 4.4:GCPにおけるネットワークフォレンジック調査

GCPで利用可能なネットワーク・ログとデータ、および証拠を使用してGCP環境のネットワーク・フォレンジックを実行する方法について学習します。

トピックス

モジュール 4.1:GCPについて

  • 体系
  • GCPのリソース
  • 価格体系
  • GCP IAM
  • IAMの課題

モジュール 4.2:ログソース、収集およびログルーティング

  • GCPログエクスプローラ
  • ログエクスプローラのクエリー
  • ログルーティング
  • ログストレージ
  • パイプラインのロギング
  • ログのエクスポート

モジュール4.3:VMとストレージの調査

  • コンピューティングの概要
  • VMスナップショット作成
  • Google Loggin Agent
  • AWSのLogging Agent
  • GCP Storage Buckets

モジュール4.4:GCP Network Forensics

  • GCP Network DFIRサービスの概要
  • GCP VPCの概要
  • VPCネットワーキング
  • VPCフローログ
  • ファイアウォールのルールとログ
  • GCPパケットミラーリング

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。