NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Cloud Security Attacker Techniques, Monitoring, and Threat Detection
Cloud Security
English2023年11月13日(月)~11月17日(金)
1日目: 9:00-17:30
2日目~5日目: 9:30-17:30
オンライン
早期割引価格:1,030,000 円(税込み 1,133,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格 :1,140,000円(税込み 1,254,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要 このコースに完全に参加するためには、適切に設定されたシステムが必要です。
本コースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に完全に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。
授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。
このコースの追加要件:
当校のコース教材には、「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラス・イベントに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。これらの手順を完了するには、30分以上かかる場合があります。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
登録受付中です!GIACクラウド脅威検知 - GCTD
攻撃者は逃げることはできても、隠れることはできない。我々のレーダーはすべての脅威を見抜く。
SEC541は、クラウド脅威の検知、クラウドセキュリティモニタリング、セキュリティ分析に関する必須のコースです。コースを通して、攻撃者のテクニックを分析する方法を学び、クラウド環境内で攻撃者がどのように動作するかを深く理解します。さらに、クラウドロギングとセキュリティツールの機能を探求し、潜在的な脅威を検知し対応するための効果的な使用方法を学びます。このコースでは、クラウドにおける検知エンジニアリングについても説明し、堅牢で効率的な脅威検知システムの構築について理解を深めます。コース終了時には、攻撃を分析し、堅牢なセキュリティ・エンジニアリング・プログラムを構築するために必要なスキルと知識を身につけることができます。
SEC541の各セクションの冒頭では、AWSまたはAzureのクラウドインフラストラクチャを標的とした実際の攻撃キャンペーンの詳細な分析に参加します。この分析では、攻撃の戦術とテクニックを分解し、攻撃がどのように発生し、それを検知するために何ができたかを理解できるようにします。攻撃を分析した後、このコースでは、クラウドネイティブ機能とクラウド統合機能を活用して、実際の環境で同様の攻撃を検出、ハント、調査する方法を学びます。AWSとAzureのサービスを使ってログや行動を分析することに焦点を当て、分析、検出、ベストプラクティスの武器を構築することを学びます。コース終了時には、クラウドベースの脅威を分析・検知する方法を深く理解し、クラウドインフラに適用できる実践的なスキルを身につけることができます。
"このコースには、AWS/Azureで脅威を見つけ出す仕事を始めるために必要な知識が含まれています。"
- Mikolaj Staniucha, PepsiCo
このコースのラボは、AWSとAzureのロギングとモニタリングのサービスをハンズオンで学びます。ラボの約75%はAWS、25%はAzureです。各ラボでは、特定の脅威とそれを検知するために必要なデータについて調査することから始めます。ほとんどのラボでは、受講者は自分のアカウントに対して攻撃を行い、分析を行うために必要なログとデータを生成します。AWSとAzureのネイティブサービスやオープンソースの製品を使用して、脅威の抽出、変換、分析を行います。講義とラボを組み合わせることで、AWSとAzure内のこれらのサービスがどのように機能するか、それらが生成するデータ、データを分析する一般的な方法の全体像を把握し、自分のクラウド環境で同様の攻撃を識別し分析する能力を身に付けることができます。
「ラボは、わかりやすい手順があり取り組みやすいものでした。コマンドを簡単にコピー&ペーストできる点が気に入っています。これによって、ラボを早く終わらせることができますが、コースの後で戻ってきて、各コマンドを見直す時間を取ることができることもできます。"
- Ludek Suk, Accenture
「ラボは素晴らしく、非常に役に立ちます。ここから多くを学んでいます。」
- Joe Cultrara
「ラボガイドは非常に詳細です。自分がやっていることを理解することを可能にしてくれました。また、ラボを完了するために十分な時間を提供してくれたので、何かを急かされるということはありませんでした。
- Sambit Sarkar, ICE Data Services
クラウド環境で監視、脅威検知、インシデント対応を行う、またはロギングを担当する以下のような方:
受講者はAWSまたはAzureに精通し、ハンズオンで作業したことがあること、特にクラウドセキュリティ分野で働くセキュリティ専門家で、基本的な脅威や攻撃ベクトルを理解していることが望ましいです。
本コースは、受講者が以下のことをヘルプなしで理解または実行できることを想定しています。
SEC541の前提条件となるSANSのコースは、以下のいずれかです。
「クラウドサービスプロバイダーは、私たちがその使い方を習得するよりも早く、新しいツールを提供してくれています。新しいツールや複雑なツールと同様に、インフラストラクチャを根本的に作り変えるためには、表層レベルでの『使い方』を理解する必要があります。このコースは、これまで皆様が使ってきたかもしれないAWSとAzureをより深く探求していきます。クラスの終わりには、AWSとAzureで脅威を探し、真の脅威検出プログラムを構築するためのスキルがあることが自覚でき、自信を持つことができます。」
-Shaun McCullough とRyan Nicholson
「AWSのデータソースについて詳しく学び、それに対する攻撃を行い、攻撃を検知できるようなイベントを生成するのがとても楽しかったです。」
- Gavin Knapp, Bridewell Consulting
SEC541は、開発者向けサービス会社「Code Spaces」への攻撃に関する調査から始まります。このクラスでは、攻撃を分解し、各アクションをMITRE ATT&CKフレームワークにマッピングします。
そして、クラウドサービス特有の検知・ログ機能である「クラウドAPIサービス」を調査します。クラウドAPIは、クラウドにおけるほとんどの活動の中心であり、分析と検出を最初に始めるべき対象です。
このクラスでは、AWSとAzureのクラウドサービスにおけるネットワーク分析オプションを調査し、どのようなデータが利用可能で、何が欠けているか、また、ネットワーク分析を使用してCode Spacesへの攻撃を検出できたかもしれないいくつかの方法について理解することができます。
セクション2は、Tesla社のKubernetes管理サービスに対する攻撃の考察から始まります。セクション1と同様に、この攻撃で使用された具体的な戦術と、それらがMITREの新しいコンテナATT&CKフレームワークにどのように対応するのかを調査していきます。
コンテナは、クラウドサービスにおいてますます一般的になってきており、特にマルチクラウドやハイブリッドアーキテクチャにおける一般的なアプリケーション開発に役立っています。セクション2では、まずAWSとAzureでアプリケーションログがどのように集められるか、どのレベルで集められるか、一般的に集められるデータの種類を調べます。次に、Kubernetes、Docker、AWS、Azureのコンテナオーケストレーションサービス、ログに記録されるデータ、ログデータを調査してアクティビティを検出したり調査に役立てる方法について見ていきます。
このセクションでは、クラウド環境で動作するプロキシについても説明します。プロキシは、運用の改善やセキュリティの向上が期待できますが、クラウドで管理されたプロキシは、可視性が失われます。このクラスでは、どのようなサービスが利用できるのか、またロギングを最大限に活用する方法について理解します。
セクション3では、まず米国金融サービス大手のCapital One社への攻撃について調査します。攻撃者が使用したテクニックを分解した後、AWSクラウドのメタデータサービスを使用して、アプリケーションの脆弱性を利用してクラウドインフラに不正アクセスする方法と、Azureの実装と異なる点を確認します。
セキュリティ監視に役立つAWSのサービスについて解説した後、リソースのインベントリやデータディスカバリーを行うためのツールやクラウドマネージドサービスについて解説します。クラウド環境は常に変化しており、調査者は問題を迅速に特定するためにこれらの発見ツールを必要とします。
AWSとAzureは、侵入や攻撃者の活動の可能性を指摘するアプリケーション、ホスト、設定の脆弱性を支援するサービスを提供しています。この授業では、これらの脆弱性の実行と修復を支援するために構築された、いくつかのクラウド企業のサービスについて見ていきます。
最後に、クラウド、ホスト、アプリケーションのログから収集したデータを一元管理することの利点について説明します。この授業では、データの一元化を管理するのに役立つAWSとAzureのサービスを取り上げ、どれを使うべきか、その利点について説明します。
最初の3つのセクションと同様に、セクション4では、2021年初めに発生したMalwareBytesの侵害と、関連する主なMITRE ATT&CK技術のレビューからスタートします。その後、5つのラボ演習のうち最初の演習では、Microsoft 365と、防御者の検知活動を支援するコンポーネントについて調べ、これらの技術を使用して新しい攻撃キャンペーンの開始を発見するスキルをテストします。
次に、ここがセクション4と異なる点ですが、2つ目の侵害である2021年のSolarWindsのサプライチェーン攻撃について検討します。その後、Azure Active Directoryに残されたアーティファクトと適切な設定手順を学ぶことで、Microsoft Azureのエコシステムにさらに深く踏み込みます。これには、以前取り上げた(しかしまだ演習していない)言語を使ってデータを分析するラボが含まれます。Kusto Query Languageです。
クラウドストレージへのアクセスに関連するロギングの処理方法、独自の検出サービス、ネットワークトラフィックの分析方法など、Azureが他のクラウドベンダーと大きく異なる点が、このセクションの次のいくつかのモジュールで引き続き紹介されます。これらのトピックには、それぞれユニークな演習が含まれており、スキルを磨くことができます。
商用クラウドサービスは、複雑なワークロードの構築と運用を自動化するように設計されています。これらの自動化のデザイン・パターンを活用して、私たちの環境におけるデータの取得、分析、セキュリティ防御の自動化を実施することができます。このセクションでは、クラウド環境で自動化したいワークロードについて説明し、自動化のためのいくつかのサービスを調査し、その例を通して作業していきます。
また、このセクションでは、コースを通してカバーされたトピックを強化するために、CloudWarsコンペティションを実施します。この楽しいコンペティションを通じて、多肢選択式、穴埋め式、および2つのCSP環境で実施される実習で構成される複数の課題に回答していただきます。また、新しいクラウドリソースの導入と分析も行い、その過程で貴重なポイントを把握することができます。