ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 555

Detection Engineering and SIEM Analytics

Blue Team Operations

English
日程

2025年11月10日(月)~2025年11月14日(金)

期間
5日間
講義時間

1日目:9:00-17:30
2日目~5日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GCDA
講師
Nick Mitropoulos|ニック ミトロプーロス
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
30 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2025年9月26日(金)
通常価格:2025年10月31日(金)
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand  149,850円(税込み 164,835円)
  • Skills Quest by NetWars 価格:74,250円(税込み 81,675円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC555 PC設定詳細

重要:以下の環境のノートPCをご持参下さい。

このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムでご参加ください。

講義前にシステムをバックアップしてください。さらに良いのは、機密/重要なデータのないシステムを使用することです。SANS は、お客様のシステムまたはデータに対して責任を負いません。

必須のシステムハードウェア要件

  • CPU: 64 ビット Intel i5/i7 ( 8 世代以降)、または AMD の同等品。このクラスには、x64 ビット、2.0+ GHz 以降のプロセッサが必須です。
  • 重要: M1/M2 プロセッサ ラインを使用する Apple システムは、必要な仮想化機能を実行できないため、このコースでは使用できません。
  • Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にするには、BIOS 設定を設定する必要があります。変更が必要な場合に備えて、パスワードで保護されている BIOS にアクセスできることを必ず確認してください。
  • 16GB以上のRAMが必要です。
  • 160GB以上の空きストレージ容量が必要です。
  • 少なくとも 1 つの使用可能な USB 3.0 Type-A ポート。新しいラップトップには、Type-C - Type-A アダプターが必要になる場合があります。一部のエンドポイント保護ソフトウェアでは USB デバイスの使用が妨げられているため、授業前に USB ドライブを使用してシステムをテストします。

必須のホスト構成とソフトウェア要件

  • ホスト オペレーティング システムは、Windows 10Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  • クラスの前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認します。
  • Linux ホストは、バリエーションが多数あるため、教室ではサポートされていません。ホストとして Linux を使用することを選択した場合は、コース教材や VM と連携するように Linux を構成する責任が単独で負われます。
  • ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。IT チームに別のことを言わせないでください。会社がコース期間中このアクセスを許可しない場合は、別のラップトップを持参する手配をする必要があります。
  • ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認する必要があります。コースの多くは、オペレーティングシステムへの完全な管理アクセスを必要とし、これらの製品によりラボを完了できない場合があります。
  • エグレストラフィックをフィルタリングすると、コースでラボを達成できない場合があります。ファイアウォールを無効にするか、無効にするには管理者権限が必要です。
  • クラス開始前に、VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+ (Windows 10 ホストの場合)VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+ (Windows 11 ホストの場合)、または VMWare Fusion Pro 12.2+ または VMware Fusion Player 11.5+ (macOS ホストの場合) をダウンロードしてインストールします。VMware Workstation Pro または VMware Fusion Pro のライセンス コピーをお持ちでない場合は、VMware から 30 日間の無料トライアル コピーをダウンロードできます。VMware Web サイトでトライアルに登録すると、期間限定のシリアル番号が送信されます。また、VMware Workstation Player が提供する機能は VMware Workstation Pro よりも少ないことにも注意してください。Windows ホスト システムを使用している場合は、よりシームレスな学生エクスペリエンスを実現するために Workstation Pro をお勧めします。
  • Windows ホストでは、VMware 製品は Hyper-V ハイパーバイザーと共存しない可能性があります。最適なエクスペリエンスを得るには、VMware が仮想マシンを起動できることを確認します。これには、Hyper-V を無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guard を無効にする手順は、コース教材に付属のセットアップ ドキュメントに記載されています。
  • ダウンロードしてインストールする7-ジップ(Windows ホストの場合) またはケカ(macOS ホストの場合)。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。クラスのメディアファイルは大きくなる可能性があります。多くは4050GBの範囲で、100GBを超えるものもあります。ダウンロードが完了するまで、十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因によって異なります。したがって、資料のダウンロードにかかる時間の見積もりを与えることはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。授業初日にすぐにコースメディアが必要になります。これらのファイルのダウンロードを開始するのは、授業の前夜まで待たないでください。

コース教材には、ライブクラスイベントに参加したり、オンラインクラスを開始したりする前に実行する必要がある重要な手順を詳述した「セットアップ手順」ドキュメントが含まれています。これらの手順を完了するには、30分以上かかる場合があります。

SEC555 コース概要

多くの組織ではログ収集を実践していますが、残念ながら収集したログの分析を行う人的リソースとプロセスが不足しているケースが散見されます。さらに、様々な箇所から非常に大量のログを収集するため、適切な分析を行うにはその収集元デバイスの役割や特徴を理解しておく必要があることが、更に状況を難しくしていると言えるでしょう。本コースでは、個々人に対するトレーニングはもちろん、方法論や既存のログ解析ソリューションの強化プロセスをカバーすると共に、ログに含まれる「いつ」、「何が」、「どうして」を把握するプロセスへの理解を深めていきます。このコースは、オープンソースのElasticsearch, Logstash, and Kibana (ELK) Stackとその他のオープンソースプロジェクトを活用し、SIEMソリューションを提供し、ハンズオンを通して大規模データ解析のマインドセットを提供する演習特化のコースです。


昨今のセキュリティ運用は「ビッグデータに」翻弄されるというよりも、むしろデータ分析をどう実施し、活用していくかが問題としてあげられるでしょう。膨大なデータを考える時、その収集した情報の内容を深く理解することに重点を置かず、複数の方法で保存と処理が行われていることを問題視する必要があるにも関わらずです。永遠とも思えるシステムの一覧や収集したログの海に溺れ、やる気を失わせる要素はいくらでもあります。この講義では、従来までの節操の無いログ収集システムから効果的運用が可能な戦略的SOCを構築するために必要な知識を提供します。

本コースは、SIEMのアーキテクチャーやプロセスを段階的に解説し、最終的にSOCを構築することを目標に設計されており、ご紹介する教材は、「適切」にSIEMプラットフォームを使用することで、膨大なログデータのなかから即座に有益な情報を抽出することが可能な内容になっています。例えば、受講生は収集されたインプット情報を、相関分析にかけることによって、有効で意味のある状態に仕立てる方法を学びます。受講生は繰り返しログ情報やイベントという鍵となる要素を分析することで、その情報の有効性を把握し、相関分析の方法を理解し、収集した複数の情報を基にした調査分析を行い、最終的に知り得た情報を使った有益だと考えられる情報の特定を行います。また、内部侵入後のおとりとなるトラップの設置方法を学習することで、洗練された侵入も素早く検知することが可能になります。コース全体を通して、受講生が現場に戻った際に活用可能な実践力を習得するために、テキストやラボの紹介に留まらず、実際に手を動かしながら操作を行うことで、紹介されているプロセスの多くを自動化する方法も同時に学習します。

基本となるテーマは、現代的なサイバー攻撃手法を駆使して、Continuous Monitoring(継続的な監視)と解析テクニックを能動的に行うことです。これを実現するため、予めキャプチャーされた攻撃サンプルデータを、ラボで再現することで実際の攻撃を体験することが可能になっているのです。

本コースを受講することで受講生は以下の準備が整うことになります。

  • 商用とオープンソースSIEM(SOF-ELK)の違いと優位性の提示が可能になります。
  • 受講生はSIEMの使用方法、アーキテクチャー、最適な運用方法を学習します。
  • ログの中からどのようなデータを収集すべきかを学習します。
  • 複数のログ収集方法を用いたスケーラブルなログソリューションの展開が可能になります。
  • 通常のログを戦略的なデータに変換させます。
  • 複数の異種データから取得する膨大な量のログを適切に捌く方法を学習します。
  • ログ収集の最適な収集方法の理解。
  • 様々なSIEMソリューションログの深堀テクニックを学習します。
  • グラフやテーブルを用いた異常状況を検知します。
  • アナリストが戦略的に解析を行うための複数データによる解析ダッシュボードの構築を学習します。
  • 大量のデータセットの中から頻度分析を行い、攻撃者が取ったテクニックを学ぶことで、彼らの攻撃に対抗することに役だてます。
  • ユーザやデバイスによるネットワーク活動状況のベースライン構築を学習します。
  • ウィンドウズシステムの変更状況を検知するためのベースライン構築を学習します。
  • ロングテール分析による異常行動検知などをはじめとする複数の解析の方法を学習します。
  • 複数データソースの関連性や統合機能を用いてより完全な状況把握を行います。
  • 標準的なアラートに対してその前後関係を提供することでその理解と優先順位の把握を行います。
  • ログデータを活用することでセキュリティ管理の有効性を確立します。
  • 初期侵入検知を実現するための仮想的なトラップの実装を学習します。
  • コンテナ監視とログ収集の方法を理解します。
  • クラウド環境のベースラインと不正な変更の検出を学習します。

  • SIEMに対してのカスタムスクリプトの記述と統合について学習します。

本講座受講にあたっての前提

  • 基本的なTCP/IP知識
  • ログ取得方法の知識
  • 基本的なOSの知識
  • ネットワークとホスト上のログシステムに対する中級程度の理解
  • メッセージキューに対する知識
  • CLIオペレーションに慣れていること
  • 商用、オープンソースSIEMに関する知識(オプション)

 

受講対象者

  • セキュリティアナリスト
  • セキュリティアーキテクト
  • 検知技術者
  • 上級セキュリティエンジニア
  • テクニカルセキュリティマネージャ
  • SOCアナリスト
  • SOCエンジニア
  • SOCマネージャ
  • CNDアナリスト
  • セキュリティ監視
  • システム管理者
  • サイバー脅威捜査
  • デジタルフォレンジック/インシデントレスポンス(DFIR)アナリスト
  • セキュリティ監視やネットワーク実装に関わる個人
  • ハントチームに関わる個人

※SEC555は、GIAC(GCDA)認定試験対象コースです。

GCDAは、最新のネットワークおよびエンドポイントデータソースを収集、分析、戦術的に使用し、悪意あるまたは不正な活動を検出する知識を証明する資格です。

  • SIEMアーキテクチャとSOF-ELK
  • サービスプロファイリング、高度なエンドポイント分析、ベースライン設定、ユーザーの動向監視
  • 戦術的なSIEMの検出と事後分析

講義内容の一例

ハンズオン

SEC555は、出来る限り多くのハンズオンを通じて知識を伝達し、スキル習得を後押しします。これは従来形の講義形態を超え、テクニカルな知識の探求に役立つよう幅広いラボを準備しています。
  • ログ収集ラボ
  • ログ補強ラボ
  • Windowsログ分析ラボ
  • システムとネットワークの基礎に関するラボ
  • NetWarsベースのゲーム使用した、ブートキャンプを毎日実施。
  • NetWarsベースの「Defend the FlagDTF)」は、チーム対抗のゲームで、ログの取り込み、解析、処理、SIEMを活用した指標や脅威の探索などの能力を発揮し、受講者の理解度をテストするよう設計されています。

 

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

SIEMのアーキテクチャー

ロギングと分析は、サイバーネットワークの防御において重要な要素であり、敵対的な活動をリアクティブにもプロアクティブにも検知することができます。適切に活用すれば、俊敏な検知のためのバックボーンとなり、環境全体を把握することができます。ロギングや分析の製品や技術は古くからありますが、急速に機能が増えてきています。このセクションでは、無料のロギング・分析ツールを紹介し、従来のログを理解し、補強するための技術に焦点を当てます。また、何十億ものログを扱うビッグデータ問題への対処法や、フリーのツールの進化が、市販のソリューションに勝るとも劣らないものになりつつあることについても取り上げます。

初日は、すべての受講生がSIEMのコンセプトを理解し、残りのクラスを乗り切るための知識レベルを身につけることを目的としています。また、SIEMのベスト・プラクティスをカバーするように設計されています。SOF-ELKPhil Hagen氏とJustin Henderson氏が共同で管理するVM)のElasticsearchLogstashKibanaを説明し、ラボにおいてログデータの取り込み、操作、レポート作成を快適に行えるようにします。

トピック

  • 最先端のSOC/SIEM
    • 市場統計
    • 現場で直面する問題
  • ログモニタリング
    • 資産
      • Windows/Linux
      • ネットワークデバイス
      • セキュリティデバイス
    • データ収集戦略
    • 事前計画
  • ログ構造
    • 不完全なログ
    • ログの収集と正規化
    • ログ保存戦略
    • 相関関係と前後関係
    • レポーティングと分析
    • 警告
  • SIEMプラットフォーム
    • 商用ソリューション
    • 内製(独自開発)ソリューション
  • SIEMのプランニング
    • データ収集管理
    • 収集対象
    • ミッション
  • SIEMの構造
  • データ収集テクニックとノード
    • 値の受領と操作
    • 検知するためのログの拡大
  • データキューとレジリエンス性
  • ストレージとスピード
  • 分析レポート
    • 可視化
    • 検出ダッシュボード

SIEMを活用したサービスのプロファイリング

大多数のネットワーク通信は、一般的なネットワークプロトコル上で発生していますが、半面、組織ではあまりにも一般的なため圧倒的な分量になるプロトコルのログを使用したり、収集したりすることは一般的ではありません。しかしこれらの情報ソースは、現代の攻撃の糸口を発見するための重要な情報源であることは認識する必要があります。

この章では、どのように膨大な分量のログを収集して取り扱うかを解説していきます。ひとつの例としてDNSサーバなどのサービスログからこれらのログを収集するための方法に関して解説すると共に、ネットワークそのものから受動的に同じデータを採取する方法についても解説します。収集したデータを増大し、意味のあるものにするためのテクニックについてもデモでご覧頂きます。

最終的には分析の原点である、まるで砂漠の中で落し物を探すような困難を打開するようなときに役立つ原理を解説します。たとえ膨大な分量のログを検索することに問題を抱えていても、分析原理により私たちが探している意味のある対象のみを表面化させることが可能になります。そのためにはダッシュボードを活用することで、意味のあるログを素早く見つけるようにするだけではなく、次に取るべきアクションと共に分析結果を導き出せるようにしておかなければなりません。

トピック

  • 検知方法とログ分析の関連性
    • 攻撃パターン
    • 攻撃行動
    • 異常点
  • 一般的なアプリケーションログの分析は非常に多くのデータを生成する
    • DNS
      • アクセスがあった新ドメインの検出
      • ドメイン取得や更新時期と言った追加情報の収集
      • ランダムに命名されたドメインの検出
      • ドメインシャドウイングの探索
      • recon(偵察)活動の特定
      • DNS C2(Command & Control)チャンネルの発見
    • HTTP
      • ビックデータを使った攻撃の検出
      • Bot通信の特定
      • ユーザが使用するはずのないリクエストの検出
        • 不要な値のフィルタリング方法
      • ランダム性
      • 自動化ツールとユーザによる活動の相違点の特定
      • 承認、未承認のwebクライアント特定フィルタ
      • HTTP C2チャンネルの検出
    • HTTPS
      • 大規模分析ための更新情報
      • 証明書フィールドの分析による攻撃ベクターの特定
      • 証明書の正当性確認
      • HTTPで使用可能なテクニックの活用
      • HTTPS C2チャンネルの発見
    • SMTP
      • 未認証電子メールの経路特定
      • 侵入されたメールサーバの検出
      • フィッシングドメインのファジーマッチング探知法
      • 持出しデータの検知
  • ネットワークログへの脅威情報の適用
  • ダッシュボードと可視化
    • ネットワーク情報の相関分析
    • 頻度分析テーブルの構築
    • ネットワークの基本指針策定

応用的なエンドポイント分析

エンドポイントログの価値は、非常に有益な情報を提供し、攻撃検知を行う上で何物にも変えがたいほど重要なものです。しかし、たった1台のデスクトップ端末でさえ日に数万から数十万イベントが発生するものです。これを実際の環境に当てはめた場合、組織がログ分析の業務負荷に圧倒されてしまうのもの無理はないはずです。

この章では、システムログを収集するうえでの方法と、その理由について解説します。数々のログ収集方法とツールは、ハンズオンによって経験値を上げることに役立つと共に、サーバやワークステーションから無限に生成されるデータを、ハンドリングとフィルタリングによってシンプルな形にすることができるようになります。

現代の攻撃ベクターを知ることは非常に重要なため、ワークステーションにおけるログ施策については特に深く解説していきます。何故なら、現代の攻撃はワークステーションから始まり、そこから拡散されていくと言われているからです。


トピック

  • エンドポイントログ
    • 値の理解
    • 収集方法
      • エージェント
      • エージェントレス
      • スクリプト
    • ロギングの追加
      • EMET
      • Sysmon
      • グループポリシー
    • Windowsフィルタリングとチューニング
    • 攻撃者パターン別クリティカル事象の分析
      • エクスプロイト予兆の発見
      • 内部偵察の予兆の発見
      • 持続フェーズの発見
      • 権限エスカレーション
      • 足がかりの確立
      • トラックのクリーンアップ
    • ホストベースファイアウォールのログ
      • 内部ピボッティングの検知
      • 未認証実行ファイルの特定
      • スキャン活動の閲覧
    • 資格盗難と悪用
      • 複数回の失敗ログイン
      • 未認証アカウントの使用
    • PowerShellのモニタリング
      • PowerShellロギングの設定
      • Identify obfuscation
      • 現代的攻撃の特定

    • コンテナ

      • ロギングの方法
      • モニタリング

基本動作とユーザによる活動の監視

己を知ることが時として防御戦略の最大の鍵になりますが、これを達成するのは容易なことではありません。資産を棚卸し、組織が所有するものとそうでないものを台帳として保持することなどは困難な事柄の代表です。タスク自体は簡単ですが、日々発展するネットワーク環境に追随する形で台帳の保守を行うことは非常に難しいことになっています。

この章では、自動的に資産台帳とそれらの設定の整備、またそれらの資産が承認か未承認かを区別する方法およびテクニックについて説明します。実態に極めて近い忠実度のデータを提供するポイントについて解説するとともに、複数のデータソースから相関性を維持しつつ統合するテクニックを用いることで、最終的にマスターとなる棚卸し台帳の作成を行います。

適用するネットワークと、システムの基本テクニックに関するハンズオン経験を積むことは、もうひとつの己を知る方法です。ネットワーク通信の監視を行うことで、例えばC2ビーコンやユーザによる異常な振る舞いを特定することが可能になります。

最終的には、膨大な分量のエンドポイントデータを取捨選択をするために、大容量データの分析テクニックを適用していきます。このテクニックを活用することで、持続フェーズで使われるメカニズムやデュアルホームデバイスなどの検出に役立てることができるでしょう。

トピック

  • 承認・未承認資産の特定
    • アクティブ資産の発見
      • スキャナー
      • ネットワークアクセスコントロール
    • パッシブ資産の発見
      • DHCP
      • p0fやpradsなどのネットワークリスナー
      • NetFlow
      • スイッチのCAMテーブル
    • マスター台帳への資産情報の適用
    • 付随情報の追加
      • 脆弱性情報
      • 承認・未承認デバイス
  • 承認・未承認ソフトウェアの特定
    • 情報元の収集
      • 資産管理システム
      • パッチ管理
      • 許可リスト(ホワイトリスト)ソリューション
      • プロセス監視
    • 未承認ソフトウェアの発見
  • 基本データ
    • Netflowやファイアウォールからのネットワークデータ
      • アウトバウンドフローを活用した未承認アクセスや資産の発見
      • 想定されるインバウンド・アウトバウンドプロトコルの比較
      • 持続フェーズ状態やビーコンの発見
      • 位置情報とリバースDNS lookupの活用
      • デバイス間連携の確立
      • ラテラル移動の特定
      • アウトバウンド通信の閾値設定
    • パターン別ログオン状況の監視
      • 時間ベース
      • 同時ログオン
        • ユーザ毎のログオン
        • アクセスデバイス毎のログオン
        • 複数の位置情報
    • エンドポイント基本監視
      • 基本的なデータ収集設定
      • 大規模な持続性監視
      • 異常ユーザアカウントの検知
      • デュアルホームデバイスの発見
    • クラウドのベースライン化(講義ではAmazon AWSを使用)

戦術的なSIEM利用による検出と事後分析

ネットワーク上には、複数のセキュリティデバイスが存在していますが、それらを個別に設置しているケースがよく見られます。アナリストは、専門分野毎に分割される傾向にあり、IDSの専門家はIDSを得意とするように特定の分野にフォーカスしています。しかし、単一のセキュリティデバイスからのアラートのみでは、事象の詳細が分かりにくく、似通った情報により真実が見えにくくなるケースが多くあるのです。

この章では、複数のセキュリティログを組合わせることで実現する統合分析に焦点を置き、アナリストにとってより有益な情報を提供するために、複数ソースを組合わせる方法を解説していきます。また、分析の結果と併せて資産情報も提供しようとした場合に、アナリストの分析時間を優先することが、組織にとってどれだけ貢献できるのかについても解説します。

セキュリティアラートの最適化の方法を学んだ後は、仮想的な罠を導入してログを取得する新しい方法の習得へと進んでいきます。当然のことですが、攻撃者によるネットワークへの侵入を防御できるケースもありますが、残念ながらそれは永続的ではなく、いずれ侵入を許してしまいます。また、侵入そのものはその後に起きる事象の始まりにしか過ぎません。敵はゴールに近づくために、システムとネットワークをくまなく徘徊します。この習性を逆手に取り、対策としてログ収集型のtripwire(仕掛け)を導入することで、素早く攻撃者や攻撃の検知と対応が可能になるのです。

トピック

  • NIDSとHIDSアラートの統合
  • エンドポイントセキュリティログの分析
    • 代替分析法
    • より良いレポート促進のためのタグ付け設定
  • 増大する侵入検知アラート
    • CVE、OSVDBなどの抽出による前後関係の把握
    • 位置情報といったルール情報の取り込み
  • 脆弱性情報の分析
    • 脆弱性報告
    • CVE、OSVDBやその他のIDとIDSアラートの相関分析
    • 脆弱性の内容に基づいたIDSアラートの優先順位付け
  • マルウェアサンドボックスのログを他のシステムと相関させ、企業全体での被害を特定
  • ファイアウォールの監視
    • スキャン活動の中で拒否されたインバウンド通信特定
    • アラート発呼時の自動応答の適用
    • 予期せぬアウトバウンド通信の特定
    • 予期せぬ変更を特定するためのAllow/Deny基本設定
    • 拒否した通信におけるノイズ排除フィルタテクニックの適用
  • SIEM tripwire
    • 侵入時における早期ログアラート生成のためのシステム設定
      • ファイルおよびフォルダへのスキャン行動の特定
      • ユーザ毎のトークン盗難の特定
      • 統合ロギングが可能な仮想ハニーポットの運用
      • フォーンホームの追跡
  • 事後分析
    • ネットワークトラフィックの再分析
      • 悪意ドメインとIPの特定
      • ビーコン行動の探査
    • 不可解な定期的行動の特定
    • 脅威情報を活用したuser-agentなどのフィールドの再調査
    • ハッシュを活用した壊れたファイルの再評価

まとめ: デザイン、検知、防御

コースの仕上げはチームに分かれてデザイン、検知、防御のレベルを競うCTF競技です。最終日はこれまでに習得した原理原則を存分に発揮して、さらなる理解を得るためにNetWarsを利用したハンズオンとしています。

1週間を通して学習した最新のサイバー防衛技術を確実に習得するために設計された、複数の課題に挑戦します。ロギングアーキテクチャの構築、ログの増強、ネットワークログの分析、システムログの分析、攻撃を発見するためのダッシュボードの開発など、このチャレンジングな演習は、楽しく、実践的で、チームで取り組むべき課題の中で重要な原則を強化することができるでしょう。

  • 防御CTF:ハンズオン
  •  

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ