システムベースのフォレンジック知識をネットワークに活用します。ネットワーク証拠を調査に組み込み、より良い結果を提供し、作業をより迅速に完了します。
ネットワークコンポーネントがないフォレンジック調査を行うことは非常にまれです。エンドポイントフォレンジックは、DFIRの専門家にとって常に重要で基本的なスキルですが、彼らのネットワーク通信を見落とすことは、犯罪が行われた瞬間の防犯カメラの映像を無視するようなものです。侵入インシデント、データ盗難ケース、従業員の誤用シナリオ、またはプロアクティブな敵対者検出に関与しているかどうかにかかわらず、ネットワークは多くの場合、インシデントの比類のないビューを提供します。その証拠は、意図を示すために必要な証拠を提供し、数か月以上活動している攻撃者を明らかにするだけでなく、犯罪が実際に発生したことを決定的に証明するのに役立つ場合もあります。
FOR572: 高度なネットワークフォレンジック:脅威の検出、分析、インシデント対応は、今日の調査作業におけるネットワーク通信とアーティファクトへの注目が高まるために必要な最も重要なスキルをカバーするように設計されました。多くの調査チームは、既存の証拠と新たに取得した脅威インテリジェンスを使用して、以前に特定されていなかったインシデントの証拠を明らかにするという、プロアクティブな脅威ハンティングをスキルに組み込んでいます。また、インシデント後の調査と報告に重点を置いているものもあります。さらに、リアルタイムで敵対者と関わり、攻撃者を被害者の環境から封じ込めて根絶しようとする人もいます。このような状況では、攻撃者の通信から残されたアーティファクトは、攻撃者の意図、能力、成功、失敗に関する貴重なビューを提供できます。
FOR572では、過去に発生した、または継続的に発生する通信を調査し、特徴付けるために必要な知識に焦点を当てています。最も熟練したリモート攻撃者が検出できないエクスプロイトでシステムを侵害した場合でも、システムはネットワーク経由で通信する必要があります。コマンド&コントロールとデータ抽出チャネルがなければ、侵害されたコンピュータシステムの価値はほぼゼロに低下します。別の言い方をすれば、悪質な人物が話しているのです - 私たちはあなたに聞くことを教えます。
このコースでは、ネットワーク証拠ソースを調査に統合するために必要な調査ツール、手法、および手順を、効率と有効性に焦点を当てて説明します。今週は、品揃え豊富なツールボックスと、仕事に戻った初日にそれを使用するための知識を持って出発します。高レベルのNetFlow分析、低レベルのpcapベースの解剖、補助的なネットワークログ検査など、ネットワーク証拠の全範囲をカバーします。数か月または数年分の貴重な証拠が含まれている可能性のある既存のインフラストラクチャデバイスを活用する方法や、インシデントの進行中に新しい収集プラットフォームを配置する方法について説明します。
クライアントのサイトに対応するコンサルタント、サイバー犯罪の被害者を支援し、責任者の起訴を求める法執行機関の専門家、スタッフのフォレンジック専門家、または専任の脅威ハンターのいずれであっても、このコースでは、実際のシナリオを実践的に体験して、作業を次のレベルに引き上げることができます。ネットワーク防御者は、セキュリティ運用に関するFOR572の視点から、より多くのインシデント対応と調査の責任を引き受ける際に恩恵を受けることができます。エンドポイントベースのDFIRの経験がある人は、既存のオペレーティングシステムやデバイスの知識を、日々発生するネットワークベースの攻撃に直接適用することができます。FOR572では、ディスクやメモリイメージを使用せずに、同じレベルの現実世界の問題を解決します。
FOR572のハンズオンラボのほとんどは、FOR508、Advanced Incident Response、Threat Hunting、Digital Forensicsの著者と共同で開発されました。これらの共有シナリオでは、ホストとネットワークの両方のアーティファクトを含むフォレンジック検査へのハイブリッドアプローチが理想的な理由がすぐにわかります。ここでは、その方程式のネットワーク側に主眼を置いていますが、ホストの視点が追加のコンテキストを提供できる領域や、ネットワークの視点がより深い洞察を提供する領域を指摘します。FOR508の元学生も将来の学生も、これらの広範なエビデンスセットの関連性を高く評価するでしょう。
このクラスのハンズオンラボは、パケットキャプチャと分析のための由緒あるtcpdumpやWiresharkなど、幅広いツールとプラットフォームをカバーしています。アーティファクト抽出用のNetworkMiner。nfdump、tcpxtract、tcpflowなどのオープンソースツール。このコースに新たに追加されたツールには、無料のオープンソースのSOF-ELK®プラットフォーム(Elasticスタックで事前設定され、DFIRとセキュリティ運用ワークフローに合わせて調整されたVMwareアプライアンス)が含まれます。この「ビッグデータ」プラットフォームには、Elasticsearchのストレージと検索データベース、Logstashのインジェストと解析エンジン、Kibanaのグラフィカルダッシュボードインターフェイスが含まれています。このプラットフォームは、カスタムSOF-ELK®設定ファイルとともに、フォレンジケータにログおよびNetFlow分析のためのすぐに使用できるプラットフォームを提供します。フルパケット分析と大規模なハンティングのために、無料のオープンソースのArkikeプラットフォームもカバーされており、ハンズオンラボで使用されています。すべてのクラス内のラボを通じて、シェルスクリプトのスキルは、何十万、何百万ものデータレコードをすばやく簡単に処理する方法として強調されています。
FOR572は上級者向けのコースで、初日から本格的にスタートします。フォレンジックの手法と方法論、フルスタックのネットワーク知識(物理メディアからユーザー向けサービスまで)、Linuxシェルユーティリティなど、あらゆるスキルを駆使してお楽しみください。彼らはすべて、あなたが犯罪と戦うように、コースの資料全体であなたに利益をもたらします。事件を解き明かす...一度に 1 バイト (またはパケット)。
