攻撃者は逃げることはできても、隠れることはできない。我々のレーダーはすべての脅威を見抜く。
SEC541は、Amazon Web Services(AWS)とMicrosoft Azureの環境に対して攻撃者がどのように活動するのか、攻撃者にはどのような特徴があるのか、クラウドインフラにおける疑わしい活動をどのように検知し調査するかなどを学習するクラウドセキュリティのコースです。クラウドインフラにおける悪意のある行為を見抜き、疑わしい行為を調査する方法を学びます。クラウド環境の攻撃から保護するためには、組織は、どのような種類の攻撃が自分の環境で起こりやすいかを知り、正しいデータを適時に取得し、そのデータをクラウド環境とビジネス全体の目標との関連で分析できるようにする必要があります。
SEC541は、毎日、クラウドインフラに対する実際の攻撃キャンペーンを体験することから始まります。どのように攻撃が行われたのか、何が成功の要因だったのか、攻撃者を現行犯で捕まえるために何をすればよかったのか、などを分析します。攻撃を分析した後、クラウドネイティブとクラウド統合機能を活用して、実際の環境で同様の攻撃を検知する方法や脅威ハンティングの方法、詳細な調査手法などを学びます。このコースでは、AWSとAzureのサービスを深く掘り下げ、ログと動作を分析し、受講者が自身のクラウドインフラに適用することができるよう設計しています。
"このコースには、AWS/Azureで脅威を見つけ出す仕事を始めるために必要な知識が含まれています。"
- Mikolaj Staniucha, PepsiCo
業務に役立つポイント
- 攻撃者が受講者の自社の環境に侵入するまでの平均時間を短縮する。
- 分析を自動化し、時間を短縮する方法を紹介する
- ロギングと設定の適切な設定を支援する
- クラウド特有のセキュリティサービスを理解し、活用することで、攻撃のリスクを低減する
- 侵入が発生した場合の影響を軽減する
- マニュアルを読むだけでなく、実際の航空機の操縦方法を学ぶことができる
習得できるスキル
- クラウドインフラに対する攻撃や脅威を調査し、それらがどのような影響を及ぼすかを調べられるようになる
- 脅威を検知可能な要素に分解できるようになる
- AWSとAzureのコアロギングサービスを効果的に使用して、疑わしい動作を検出できるようになる
- クラウドサービスにおける最新の防御メカニズムであるクラウドネイティブAPIロギングを活用できるようになる
- クラウドが提供するグラフィックユーザーインターフェースを超えて、複雑な分析を行うことができるようになる
- クラウドで提供されるネットワークログを用いたネットワーク分析の実施できるようになる
- クラウド環境におけるアプリケーションログの収集・分析方法を理解できる
- AWSとAzureのセキュリティに特化したサービスを効果的に実践できるようになる
- コンテナ、オペレーティングシステム、デプロイされたアプリケーションのログをクラウドのログサービスに統合し、より一貫した分析を行うことができるようになる
- 企業全体のログデータを一元化し、より良い分析を実現できるようになる
- スクリプトとクラウドネイティブツールを使用して、クラウドリソースと機密データのインベントリを実行できるようになる
- Microsoft 365 のアクティビティを解析して脅威を発見できるようになる
- クラウドネイティブアーキテクチャを活用し、攻撃への対応アクションを自動化できるようになる
ラボの内容
このコースのラボは、AWSとAzureのロギングとモニタリングのサービスをハンズオンで学びます。ラボの約75%はAWS、25%はAzureです。各ラボでは、特定の脅威とそれを検知するために必要なデータについて調査することから始めます。ほとんどのラボでは、受講者は自分のアカウントに対して攻撃を行い、分析を行うために必要なログとデータを生成します。AWSとAzureのネイティブサービスやオープンソースの製品を使用して、脅威の抽出、変換、分析を行います。講義とラボを組み合わせることで、AWSとAzure内のこれらのサービスがどのように機能するか、それらが生成するデータ、データを分析する一般的な方法の全体像を把握し、自分のクラウド環境で同様の攻撃を識別し分析する能力を身に付けることができます。
- セクション1:SEC541の環境構築、CloudTrailによるクラウドAPIログの解析、JQによるJSON形式のログの解析、ネットワーク解析
- セクション2:環境のセットアップ、OpenCanaryによるアプリケーション/OSログラボ、CloudWatchエージェントとカスタマイズ、ECSの独特な動作、データ流出の発見
- セクション3:メタデータサービスとGuardDuty、クラウドインベントリ、Macieによる未承認の場所にある機密データの発見、Inspectorによる脆弱性評価、Graylogによるデータの一元化
- セクション4:Microsoft 365 Exchangeの調査、Kusto Query Languageの紹介、Azure CLIによるログ解析、Microsoft Defender for CloudとSentinel、Azureネットワークトラフィック解析
- セクション5:自動化フォレンジックワークフローの設定、結果の分析、CloudWarsチャレンジへの参加
「ラボは、わかりやすい手順があり取り組みやすいものでした。コマンドを簡単にコピー&ペーストできる点が気に入っています。これによって、ラボを早く終わらせることができますが、コースの後で戻ってきて、各コマンドを見直す時間を取ることができることもできます。"
- Ludek Suk, Accenture
「ラボは素晴らしく、非常に役に立ちます。ここから多くを学んでいます。」
- Joe Cultrara
「ラボガイドは非常に詳細です。自分がやっていることを理解することを可能にしてくれました。また、ラボを完了するために十分な時間を提供してくれたので、何かを急かされるということはありませんでした。
- Sambit Sarkar, ICE Data Services
シラバスの概要
- セクション1:管理プレーンとネットワークのロギングと分析を通じて、クラウド環境における攻撃活動を検出する方法を学びます
- セクション 2: クラウド環境内で実行されているアプリケーションと計算システムをより深く掘り下げます
- セクション 3: 導入されたクラウド環境を理解し、組織のポリシーからの逸脱や潜在的な悪意を特定する方法を学びます
- セクション4:Azureのエコシステムと発生しうるユニークな脅威を深く掘り下げます
- セクション 5: クラウド環境における事故対応の自動化方法を学び、Capture the Flag イベントで新しいスキルを試します。
追加の無料コンテンツ
受講者へ提供するもの
- 印刷された教材と電子版の教材
- 全講座のMP3音声サービス
- AWSクラウド上の仮想マシンへのアクセス
- Azureアカウントへのアクセス
このコースの次におすすめのコース
- SEC549: Enterprise Cloud Security Architecture
- SEC557: Continuous Automation for Enterprise and Cloud Compliance
- SEC588: Cloud Penetration Testing Course
- FOR509: Enterprise Cloud Forensics and Incident Response
