FORENSICS 589

FOR589 PC設定詳細

重要！次の手順に従って設定されたPCを持参してください。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定されたすべての要件を満たすシステムでご出席ください。

 授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。

システムハードウェア要件

• CPU： 64ビットIntel i5/i7（第4世代以上）プロセッサー、x64ビット0GHz以上プロセッサー、またはそれ以上の最新プロセッサーがこのクラスには必須です。(重要 - 必ずお読みください: 64ビットシステムプロセッサは必須です)
• 重要：アップルシリコンデバイス(M1プロセッサから)は、必要な仮想化を実行できないため、このコースでは一切使用できません。
• 64ビットのゲスト仮想マシンがラップトップ上で動作するように、CPUとオペレーティングシステムが64ビットをサポートしていることが重要です。
• BIOS設定は、「Intel-VT 」のような仮想化技術を有効にするように設定する必要があります。
• 変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、アクセスできることを確認してください。
• このクラスでは16ギガバイト（GB）以上のRAMが必須です。(重要 - 必ずお読みください: 16GB以上のRAMは必須かつ最低限です)
• USB 3.0 Type-Aポートが必要です。少なくとも1つのUSB 3.0 Type-Aポートが開いており、動作していることが必要です。(新しいノートパソコンにはType-CからType-Aへの変換アダプタが必要な場合があります。) (注意：エンドポイント保護ソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前に市販のUSBドライブでシステムをテストし、コースデータをロードできることを確認してください)
• 配布するVMをホストするためには、ハードディスクに150GBの空き容量が必要です。
• ローカル管理者アクセスは絶対に必要です。IT部門に言われないようにしてください。コース期間中、会社がこのアクセスを許可しない場合は、別のコンピュータを持参するよう手配してください。
• ワイヤレス802.11 機能

ホストの必須構成とソフトウェア要件

• ホストオペレーティングシステムは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
• クラスの前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認します。
• Linuxホストは、さまざまなバリエーションがあるため、教室ではサポートされていません。ホストとしてLinuxを使用することを選択した場合は、コース教材やVMで動作するように構成する責任があります。注意:最新のUSB 3.0デバイスを利用するために適切なドライバーとパッチがインストールされていることを確認するには、クラスの前にホストオペレーティングシステムを完全に更新する必要があります。
• また、Linuxホストを使用する場合は、適切なカーネルまたはFUSEモジュールを使用してExFATパーティションにアクセスできる必要があります。
• ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効になっているか、完全に削除されているか、管理者特権を持っていることを確認する必要があります。多くのコースでは、オペレーティングシステムへの完全な管理アクセスが必要であり、これらの製品によってラボを完了できない可能性があります。
• 出力トラフィックのフィルタリングによって、コースのラボを完了できない可能性があります。ファイアウォールを無効にするか、管理者特権を持っている必要があります。

授業前に以下のソフトウェアをインストールしてください

• クラスの開始前に、VMware Workstation Pro 17+ (Windowsホストの場合) またはVMware Fusion Pro 13+ (macOSホストの場合) をダウンロードしてインストールします。Workstation ProとFusion Proは、現在、VMwareのWebサイトから無料で個人使用できます。これらの製品のライセンス付き商用サブスクリプションも使用できます。
• Windowsホストでは、VMware製品がHyper-Vハイパーバイザと共存できない場合があります。最適なエクスペリエンスを得るには、VMwareが仮想マシンを起動できることを確認してください。Hyper-Vの無効化が必要になる場合があります。Hyper-V、Device Guard、Credential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
• Microsoft Office (任意のバージョン) またはOpenOfficeがホストにインストールされていること。Office試用版ソフトウェアをオンラインでダウンロードできることに注意してください (30日間無料) 。
•  7Zip (Windowsホスト用) またはKeka (macOS) をダウンロードしてインストールします。これらは、SANSコースウェアに含まれている場合があります。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアは、SANSアカウントの「Course Material Downloads」ページからダウンロードして配信されます。クラスのメディアファイルは大きい場合があり、40 GBから50 GBの範囲のものもあります。ダウンロードが完了するまでには十分な時間が必要です。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。したがって、教材のダウンロードにかかる時間を見積もることはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。授業の初日にすぐにコースメディアが必要になります。授業が始まる前の夜まで待ってダウンロードを開始すると、失敗する可能性が高くなります。

SANSは、PDF形式の印刷物の提供を開始しました。また、一部のクラスでは、PDFに加えて電子ブックを使用しています。電子ブックを使用するクラスの数は急速に増加するでしょう。このことを考慮すると、インストラクターがプレゼンテーションを行っている間、またはラボの演習に取り組んでいる間に、クラスの資料を表示しておくために、2台目のモニターやタブレットデバイスが便利であることがわかりました。

ノートパソコンの仕様についてご質問がある場合は、カスタマーサービスにお問い合わせください。

サイバー犯罪インテリジェンスとは何か？

サイバー犯罪捜査は、組織が将来のサイバー脅威を予測、予防、軽減するのに役立つと同時に、サイバー犯罪者の捜査と起訴において法執行機関を支援します。サイバー犯罪捜査は、組織が以下を行う上で重要な役割を果たします。

•  攻撃が発生する前に、迫り来る脅威を事前に特定し、対処する。
• リアルタイムの脅威情報に基づいて、リソースの割り当てについて十分な情報に基づいた意思決定を行う。
• 捜査に役立つ証拠と洞察力で法執行機関を支援する。

本コースの内容

サイバー犯罪に先手を打ち、境界を広げる方法があります。そのためには、まず直面する広大な状況を把握し、犯罪行為を発見して妨害するための調査手法を適用することから始めます。

 サイバー犯罪の調査は、悪意のある活動を検知、対応、立証することを目的とする組織や、サイバー犯罪者の特定、逮捕、起訴に取り組む法執行機関や政府機関にとって不可欠です。FOR589： サイバー犯罪の捜査では、世界的なサイバー犯罪のアンダーグラウンドを深く掘り下げ、脅威行為者がシステムを悪用し、攻撃を収益化するために使用する戦術やテクニックを明らかにします。このコースでは、捜査手法と最新のサイバーセキュリティの実践を融合させ、オペレーションを強化します。企業のセキュリティ・チームの一員であれ、政府の調査官であれ、あるいは単に組織的なサイバー犯罪や組織への脅威を追跡・理解するスキルを身につけたいと考えている人であれ、このコースはあなたの能力を高めます。

 FOR589 サイバー犯罪捜査では、インフラストラクチャーのマッピング、脅威行為者の能力の分析、被害者の特定を学びながら、現実の犯罪活動の帰属を目指します。受講生は、犯罪者のアンダーグラウンド・フォーラムを探索し、暗号通貨取引を追跡し、サイバー犯罪者が使用する資金洗浄スキームを解剖します。このコースでは、ソックパペットの作成、脅威行為者への関与、アンダーグラウンド・コミュニティへの潜入など、安全なオンライン調査の実践を重視します。実習や実際のケーススタディを通じて、参加者はサイバー脅威を調査し、デジタル証拠を収集・分析し、サイバー犯罪キャンペーンの範囲、規模、影響を明らかにします。

本コースのトピック

• オンライン捜査の基礎と伝統的なサイバー犯罪のフレームワークの応用
• アンダーグラウンド・コミュニティをナビゲートし、犯罪エコシステムを理解する
• 秘密裏にオンライン調査を実施し、事件捜査のための配置とアクセスを獲得する。
• 捜査のサポートとして、プラットフォームの活用によるターゲットの追跡、監視
• 情報要件と法的基準に沿ったデジタル証拠収集の構造化
• 戦略、作戦、戦術レベルでのサイバー犯罪調査の管理
• 調査方法論を用いた人、資金、インフラのアトリビューション
• ダイヤモンドモデルとMITRE ATT&CKを活用した調査分析
• ネットワーク境界を超えた外部データセットを使用したインシデント対応のサポート
• 敵対関係のマッピングと犯罪標的パターンの特定
• 運用セキュリティの文脈における仮名性と匿名性の理解
• サイバー犯罪者から重要な情報を引き出すソーシャル・エンジニアリング作戦の実施
• 暗号通貨取引を追跡し、不正な組織への支払いにつなげる
• ミキサーやクロスチェーン活動を含むマネーロンダリング手法の発見

ビジネス上の利点

• 査チーム全体のサイバー犯罪と暗号犯罪に関する知識のギャップを埋める
• サイバー犯罪の専門知識により、詐欺調査、インシデント対応、サイバー脅威インテリジェンス（CTI）の能力を強化する。
• 攻撃が拡大する前に行為者を調査することで、新たなサイバー犯罪の脅威を特定し、緩和する。
• 犯罪行為に基づくプロアクティブな検知および警告メカニズムを構築する。
• 初期アクセス、マルウェアの展開、アンダーグラウンドでの提携関係を調査する。
• アンダーグラウンドの傾向と脅威行為者の動きに基づき、捜査の手がかりの優先順位を決定する。
• 構造化されたフレームワークを適用し、犯罪行為を最初から最後まで追跡する。
• インフラと暗号通貨の分析を通じて、脅威行為者をより確実に特定する。
• ベンダーの情報を、お客様の組織に合わせた独自の調査結果で補足する。
• 戦略的な意思決定と対応に役立つ、タイムリーで適切な事例に関する洞察を提供する。

本コースで習得できるスキル

• 従来の調査方法をサイバー領域に適応させ、組織に特有のリスクを発見する。
• ダークウェブのマーケットプレイス、フォーラム、脅威行為者のコミュニケーションを調査する
• 背景となるノイズから実用的な手がかりを分離し、情報に基づいた証拠に基づく意思決定を行う。
• 調査目標を、構造化された収集およびケース開発計画に落とし込む
• 地下コミュニティに安全にアクセスし、証拠を収集するための隠密ペルソナを構築し、管理する
• 暗号通貨取引を追跡し、脅威行為者、関連会社、資金洗浄を発見する
• 捜査目的をサポートするため、情報源やコミュニティの信頼性やアクセス方法を精査する 

提供されるもの

• 授業中や授業後に使用できる調査ツールがプリロードされたカスタム仮想マシン
• 安全なダークウェブおよびサーフェスウェブ調査のための Authentic8 Silo へのデモアクセス
• Chainalysis Reactor へのデモ アクセス。暗号通貨トレースとブロック チェーン分析の実習
• Maltegoへのデモアクセス。リンク分析を使用して、脅威アクター、インフラストラクチャ、デジタルフットプリントの関係を視覚化。

次のコースは？

FOR589コースは、デジタルフォレンジック、マルウェア解析、脅威インテリジェンス学習パスの一部であり、フォレンジック、脅威インテリジェンス、マルウェア解析を行うために必要となる専門的な調査スキルを習得することを目的としています。

このフォーカスエリアおよびラーニングパスに含まれる他のコースには、以下のものがあります。

前提条件

このコースに正式な前提条件はありませんが、脅威インテリジェンス、ダークウェブ・ナビゲーション、暗号通貨調査、デジタル・フォレンジックなど、サイバーセキュリティの概念に関する基礎的な理解があれば、学習経験が深まります。オープンソースインテリジェンス（OSINT）技術やインシデントレスポンスの実践に事前に触れておくことは有益ですが、必須ではありません。このコースの主な焦点は、調査、情報分析、サイバー犯罪の地下の複雑さを理解することです。

受講生は、SANSのコースまたは同等のトレーニングを受講していると有利です。しかし、これらのコースは役に立ちますが、このコースでは必須ではありません。