NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Enterprise Cloud Forensics and Incident Response
Digital Forensics and Incident Response
English2022年11月7日(月)~11月12日(土)
1日目: 9:00-17:30
2日目~6日目: 9:30-17:30
◆LiveOnline形式
オンライン
◆Onsite形式
渋谷ソラスタコンファレンス(https://shibuya.infield95.com/)
東京都渋谷区道玄坂 一丁目21番1号 渋谷ソラスタ 4階
1,130,000円 (税込み¥1,243,000)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!次の手順に従ってシステムを構成してください。
このコースに全て参加するには、適切に構成されたシステムが必要です。次の指示を注意深く読んで従っていただけない場合、このコースに不可欠となっている演習に参加できず、講義を満足できないままにしてしまう可能性があります。指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。
ほとんど常識であるとはいえ、再度お伝えしなければならないことがあります。講義の前にシステムのバックアップを取ってください。また、システムに機密データを保存しないようにしてください。SANSはシステムやデータに対して責任を負いません。
コースのメディアがダウンロード版で配信されます。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。サブモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
ノートパソコンの設定に関して追加で質問がある場合は、sans-info@nri-secure.co.jp (NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)
クラウドの中でおこっている嵐について、理解しましょう。
FOR509: Enterprise Cloud Forensics and Incident Response では、次についてのあなたの理解を支援します。
Microsoft Azure、AWS、Google Cloud Platformのリソースを活用した証拠収集の方法
Microsoft 365とGoogle Workspaceのログを分析者が確認する方法
フォレンジックプロセスをクラウドに移行し、データ処理を高速化する方法
このEnterprise Cloud Forensicsのコースでは、大手クラウドサービスプロバイダ(Microsoft Azure、Amazon AWS、Google Cloud Platform)において、従来のオンプレミス環境では得られなかった新たな証拠(ソース)を用い、何を新たに実施できるのか確認していきます。ネットワークトラフィックのモニタリングから、証拠保全のためのハイパーバイザの直接的な操作まで、クラウド環境におけるフォレンジック調査というのは決して終わることが無く、新しい技術と能力によって生まれ変わっていくものです。
インシデントレスポンスとフォレンジックは、攻撃者が残した痕跡を追うことが主な目的です。痕跡は、主にログの中にあります。ログを取得する仕組みよりも、調査プロセスに関する知識の方がはるかに重要です。
このクラスは、主にログ解析のクラスで、調査員がクラウドベースの調査技術に迅速に対応できるようにするためのものです。クラウド上でどのようなログが取得できるのか、ログはデフォルトでオンになっているのか、ログに含まれるイベントの意味をどう解釈するのか、などを知ることは非常に重要です。
コース全体にわたる多数の実践的なラボ演習により、コースに参加されるフォレンジック調査の担当者は、過去の著名な事件や調査に基づき作成された証拠に触れることができます。そして、データをどこから引き出し、どうやって分析して悪事を見つけられるか、その方法を学ぶことになります。
FOR509 ENTERPRISE CLOUD FORENSICS のコースを通じ、次のことが可能になります。
FOR509 ENTERPRISE CLOUD FORENSICS コースのトピック
Microsoft 365とGraph APIの調査
Google Workspaceの調査
このコースで受講者が受け取るもの
次のステップ
FOR500: Windows Forensic Analysis
FOR508: Advanced Incident Response, Threat Hunting & Digital Forensics
FOR572: Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response
SEC541: Cloud Security Monitoring and Threat Detection
SEC510: Public Cloud Security: AWS, Azure & GCP
SEC588: Cloud Penetration Testing
※FOR509は、GIAC(GCFR)認定試験対象コースです。
GCFR認定資格は、3つの主要なクラウドプロバイダーにおけるインシデントの追跡および対応能力を検証するものです。GCFR認定者は、急速に変化する企業のクラウド環境を管理するために必要なログの収集と解釈のスキルに精通しています。
多くのDFIR専門家は、クラウドを「他人のコンピュータ」と一蹴し、フォレンジック活動の新たな証拠となる可能性を見過ごしてきました。しかし、攻撃者はクラウドのテナントを完全に攻撃・攻略することなしに監査ログを消去できないという点から、ハードウェア追加なしに1行のコード/クリックでNetflowデータを有効にできるといった点に至るまで、クラウドの利点を受け入れるDFIR専門家にとっては、新しい可能性が提供されれます。
FOR 509のコースは、クラウドベースの調査を理解し、分析し、解決する上での足がかりとなるように作成されています。市場で最もポピュラーなクラウドソリューションをカバーし、受講生がデータを解釈する方法を取り扱うだけでなく、検出と応答の能力を次のレベルにするための理解を促進します。クラウドの自動化、オンデマンドでの柔軟なインフラストラクチャ、スタンバイ状態でのクラスタ処理などにより、受講生が所属する組織はどのような規模のイベントにも対応できるようになります。我々はこれまでにいくつもの大規模ネットワーク侵害に対処してきたわけですが、クラウドにおいても同じことができるようになる準備ができていることをこのコースを通じてお示しします。
- David Cowen
我々がこれまでオンプレミス環境において防御を行って成功を収めてきたのと同じように、この新たなピカピカなソリューションである「クラウド」は戦いの環境を根本的に変えてきています。企業は自社のシステムやデータを猛スピードでクラウドに移行しており、われわれは企業を守るものとして、安全を確保するための新たな戦略やノウハウを切望しています。物理システムに直接アクセスできないということは、従来のフォレンジックにおける手法の多くがもはや機能しないことを意味しています。ですが幸いなことに、クラウド環境のためのツールやログにより、インシデントに迅速かつ適切に対応できるようになっています。FOR 509では、スキルをクラウド環境で必要なレベルに引き上げるために、ツールやテクニックを検証します。
- Pierre Lidome
世の中の組織は、ITインフラストラクチャとオンラインアプリケーションを構築するためのスピーディーで柔軟な方法を急進的に確立するがため、オンプレミス環境におけるインフラストラクチャ、インシデント対応、デジタルフォレンジック調査チームが長年にわたって構築した「可視性」を置き去りにしてしまっています。さらに、クラウドの新しい機能やサービスが急速に導入されているため、インシデント対応の専門家は、セキュリティインシデントが発生した際にどのような証拠を入手できるかを把握するのが困難になっています。FOR 509のコースでは、インシデントレスポンスとデジタルフォレンジック調査の専門家の両方に、どのような証拠が利用可能か、世の中で最も利用されている3つのIaaSとSaaSクラウドにおいて、証拠をどのように入手・解釈できるかについての知識とスキルを提供します。あなたやあなたの組織がクラウド基盤を使用しているのであれば、このクラスは脅威アクターに対して優位に立つために必須なものです。
- Josh Lemon
あなたに発見していただかなくてはならないデータの世界があります。
クラウド・データの世界を探索する前に、まず、クラウドのデータがどこに、どのように存在するかを知る必要があります。この日の講義では、最も一般的なクラウドのアーキテクチャ(IaaS、PaaS、SaaS)のそれぞれでフォレンジック調査がどのように変わるかについて学びます。この日の講義を通じ、各アーキテクチャそれぞれで、どのような種類のログとデータアクセスが提供されるのかと、どのようにデータ抽出・処理を行うかを理解します。
企業のログ分析用に作られたオープンソースのSIEMで、簡単にクラウドフォレンジックに拡張できるSOF-ELKを紹介します。Microsoft 365は、ExcelやWordを含むMicrosoft Officeアプリケーション群を提供するSaaSプラットフォームです。さらに、Microsoft 365には、Exchange、SharePoint、Teamsなどのコミュニケーションおよびコラボレーションツールが実装されています。最後に、Microsoft Graph API を調べ、それが生成するログを確認することで、この日のセッションは終了します。
演習0:SOF-ELK VMのインストール
講義の前に、受講生はSOF-ELK VMをインストールする必要があります。
演習1.1:SOF-ELKによるデータ可視化
この演習では、Kibanaでデータを検索および可視化する方法を学習します。また、独自のダッシュボードの作成方法も学習します。Kibanaダッシュボードを使用すると、分析者は要約された統計と特定のシナリオの定義済みフィルタを表示できます。
LAB 1.2: UALを探索する
SOF-ELKのUnified Audit Logsを確認し、ビジネスメールの侵害元を探します。ユーザエージェント、IPジオロケーション、送信元IPアドレスを利用して、敵対するエージェントをプロファイルし、特定することができます。
LAB 1.3: グラフ API による特権のエスカレーション
Graph API は、Microsoft のクラウド (Microsoft 365 と Azure の両方) と対話するための強力な方法です。Graph APIアプリケーションに付与された権限を理解することは、盲点をなくし、インシデントを解決するために重要です。この演習では、Global Admin ロールをユーザーに付与するために Graph API 権限がどのように悪用されたかを追跡します。
モジュール1.1:SOF-ELKの紹介
検索方法
MODULE 1.2: DFIRのためのクラウドの主要な要素
大企業向けで最も人気のあるクラウドプロバイダの1つは、Microsoft Azureクラウドです。Azureは非常に多くのサービスを提供しており、そこには多くのデータソースが含まれています。このセクションでは、さまざまなAzureのアクティビティと診断ログについて学びます。最後に、独自の分析ツールをクラウドにデプロイする方法について説明します。
演習2.1:SOF-ELKとAzureログの使用
この演習では、Azure indexを確認し、pymtechlabs.comのユーザーとマシンを特定します。
演習 2.2:AADパスワードスプレー
このラボでは、Azure Active Directoryログを使用し、パスワードスプレー攻撃を特定します。
演習 2.3:リソース作成の追跡
この演習では、暗号化マイニングを目的として作成される仮想マシンの例を確認します。
演習2.4:データ消失の検出
この演習では、NSGフロー・ログとストレージ・ログを使用して、データの抜き出しを追跡します。
モジュール 2.1:Azureの理解
Azureの構造
サブスクリプション
MITRE ATT&CKとAzure
Microsoft Azureへのアクセス
ポータル
CLI
PowerShell
クラウドシェルでDFIRのエビデンス
モジュール2.2:ネットワーキング、VM、およびストレージ
モジュール 2.3:IRのログソース
ストレージアカウントのログ
データ流出
モジュール2.4:仮想マシンログ
モジュール2.5:クラウド内IR
スナップショットのエクスポート
その他のAzureリソース
Azure Sentinel
Azure SimuLand
マイクロソフトのインシデント対応プレイブック
推奨されるオープンソースプロジェクト
クラウドで可能なことや、我々が利用できる新たなDFIR用の証拠ソースを理解したいま、クラウドサービスのマーケットリーダーに目を向ける時が来ました。このセクションでは、AWSをレスポンダーに使用する方法、独自開発の分析システムや調査のための新しい関連ログをリージョンにデプロイする方法、それらを統合する方法について学びます。演習のシナリオは、AWSでよくあるケースについて、受講生がスピーディーに解決可能になるように意図して作られています。
演習 3.1:CloudTrailログの確認
このラボでは、CloudTrailからエクスポートされたログを使用して、アカウント乗っ取りの可能性を特定します。コンソールアクセスとAPIキーアクセスの複数のシナリオについて学び、これらの攻撃を検出して追跡する方法を学習します。
演習3.2:不正なVMの検出
このラボでは、エクスポートされたCloudTrailログを使用して、攻撃者によって作成された異なるタイプのEC 2インスタンスが作成された場所を特定します。
演習 3.3:VPC Flowログの分析
このラボでは、VPC Flowのログを使用して大規模なデータ漏洩の証拠を見つけます。さらに、ビーコントラフィックを検索して、侵害の兆候を定義することもできます。
演習3.4:S3分析
この演習では、S3のアクセスログを使用して、S3バケットからのデータ漏洩の証拠を見つけます。
演習 3.5:ラテラルムーブメントの追跡
このラボでは、最初にIAMが破られた時からデータが侵害されるまで、インシデントを追跡するために複数のログソースを使用します。
モジュール 3.1:AWSの理解
マネージドディスク
モジュール3.2:ネットワーキング、VM、およびストレージ
モジュール 3.3:IRのログソース
モジュール 3.4:イベント・ドライブ・レスポンス
IRのVMを作成する
AWSシステムマネージャー
メモリのキャプチャ
リージョンとレスポンス
コンテナ
AKS
ECS
最も一般的な調査
Google Workspaceは、2006年に始まった組織向けのSaaSソリューションの1つであり、インシデント対応や内部調査を行う際に調査者が使用する証拠品を幅広く取り揃えています。証拠を抽出するさまざまな場所と、抽出する場所によって証拠がどのように異なるかを知ることは、Google Workspaceの調査における重要なコンセプトの1つとなっています。Google Workspaceで最も一般的な4つの攻撃と、それらの攻撃を深く調査する方法を学びます。
他のクラウドプラットフォームと同様に、保存された証拠の限界と、Google Workspaceでの証拠の有効期間を延長する方法について学びます。受講者は、実際に証拠にアクセスし、Google Workspaceの証拠を最適に分析するためのスキルを学びます。
ラボ 4.1: Googleワークスペース管理者BEC
この実習では、エクスポートした Google Workspace の監査ログとメールログを分析し、管理者アカウントの侵害を調査して、侵害後の活動を判断します。
ラボ 4.2: サードパーティアプリケーションによる OAuth の悪用
このラボでは、疑わしい OAuth アプリケーションと、その許可された権限を使用して実行されたアクションを調査します。
ラボ 4.3: Google ワークスペースのデータ公開
この実習では、エクスポートした Google Drive の監査ログを確認し、企業のファイルとフォルダに関連する許可の問題や疑わしい活動を特定します。
ラボ 4.4: CLI を使用して GCP でワークスペースのログを収集する
このラボは、Google Workspaceからログを抽出するためにGoogle Cloud Platformにアクセスするためのライブウォークスルーです。このラボでは、調査員が分析できるように、インターネット上で直接証拠を収集します。
モジュール4.1: Google Workspaceの理解
モジュール 4.2: Googleワークスペースのエビデンス
モジュール 4.3: ワークスペースへの攻撃と対策
モジュール 4.4: GCPにおけるワークスペースの証拠
Google Cloud Platform (GCP) はさまざまなサービスを提供しており、AWSやAzureなどと比べるとアイデンティティアクセス管理のあり方が根本的に違っているとともに、インシデント対応チームにとって極めて有用なセキュリティや証跡にかかわる仕組みが多く組み込まれています。GCPプラットフォームでは、ビルトインの監査、エージェントベースのロギング、ELKなどの外部ログ分析ツールを組み合わせて使用します。この日の講義では、GCPに関する知識をあまり持たないDFIRの担当者に対し、GCPに対してよくある攻撃を調査する方法を示します。
演習 5.1:GCP IAMとアクセス追跡
GCP Audit Logsを使用して、KibanaおよびGCPログでログインソースのプロファイル作成、分析、および要約する方法を学習します。
演習 5.2:Google VM Logging Agent-エージェントログ分析
GCPのAgent Logsによって生成されるログと、それらを使用してGCP内で侵害されたVMを分析する方法について学習します。
演習5.3:Storage Exfil Abuse
GCP Storage Bucketでの持ち出しを追跡するために使用できるログのタイプと、追加の監査ログが有効になっていない場合に持ち出しを追跡するための追加のテクニックについて学習します。
演習 5.4:GCPにおけるネットワークフォレンジック調査
GCPで利用可能なネットワーク・ログとデータ、および証拠を使用してGCP環境のネットワーク・フォレンジックを実行する方法について学習します。
モジュール 5.1:GCPについて
GCPアイデンティティ・アクセス管理(IAM)
IAMの構造
役割とポリシー
サービスアカウント
IAの課題
過剰な権限付与の乱用
モジュール 5.2:ログソース、収集およびログルーティング
モジュール5.3:VMとストレージの調査
ロギング エクスポート
モジュール5.4:GCP Network Forensics
モジュール5.5: KubernetesのフォレンジックとIR
概要
最後のセクションでは、学生はチームに分かれて、3 つの主要なクラウドプロバイダーすべてにまたがる侵入を解決します。生徒は、この 1 週間の新しい知識をすべて参照し、侵入がどのように発生したかを調べるために証拠を分割して収集する必要があります。複数のクラウドシステムが相互に接続された状態で調査され、何が起こったのかを突き止めます。
そして、その結果をクラスで発表し、どのチームがFOR509 Lethal Forensicatorsとみなされるかを決定します。