ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 508

Advanced Incident Response, Threat Hunting, and Digital Forensics

English
日程

2026年9月7日(月)~2026年9月12日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
ハイブリッド (LiveOnlineとOnsiteの同時開催)
会場

◆LiveOnline形式
 オンライン

◆Onsite形式
 御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/
 東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階

※開催または中止の決定は、下記日程を目途にご案内いたします。

2026年8月17日(月)の週

中止となった場合はLiveOnline形式に変更しご受講いただくようお願いします。受講キャンセルをご希望の場合は別途ご相談ください。
※御請求書は開催決定のご連絡の後、順次送付いたします。
※研修当日は指定された要件を満たしたノートPCをご持参ください。
※Onsiteにつきましては会場にてテキストを配付いたします。

GIAC認定資格
GCFA
講師
Joshua Lemon|ジョシュア レモン
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2026年7月24日(金)
通常価格:2026年8月27日(木) 13:00
オプション

  • GIAC試験 価格:149,850円(税込み 164,835円)

  • OnDemand 価格:149,850円(税込み 164,835円)

  • NetWars Continuous 価格:266,250円(税込み 292,875円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR508 PC設定詳細

次の手順に沿って設定されたノートPCをご準備ください。

このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。

受講前にシステムをバックアップしてください。機密データ/重要なデータが保存されていないシステムを使用することを推奨します。SANS は、受講者のシステムやデータに対して一切責任を負いません。

システムハードウェア要件

  • CPU: 64 ビット Intel i5/i7/i9 (第 8 世代以降)、または 同等のAMDプロセッサ。このコースでは、x64 ビット、2.0GHz以上のプロセッサが必須です。
  • 重要: Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • BIOS 設定で「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にする必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は必ずアクセスできることを確認してください。
  • 16GB以上のRAMが必要です。32GBのRAMを推奨します。
  • 350GB以上の空きストレージ容量が必要です。
  • 無線ネットワーク(802.11規格)が必要です。会場には有線インターネットアクセスはありません。

ソフトウェア要件

  • ホストオペレーティングシステムは、Windows 10、Windows 11、または macOSの最新バージョンである必要があります(IntelベースのMacのみ)。
  • 受講前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、バリエーションが多数あるため、このコースではサポートされていません。ホストとして Linux を使用することを選択した場合は、コース教材や VM と連携するように Linux を構成するのは受講生の責任となります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参する手配をする必要があります。)
  • ウイルス対策ソフトウェアまたはエンドポイントプロテクションソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認してください。このコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品が原因でラボを完了できない場合があります。
  • 送信トラフィックに対するフィルタリングは、コースのラボ演習の完了を妨げる可能性があります。ファイアウォール、プロキシ、VPNは無効にするか、無効にするための管理者権限が必要です。
  • 講座開始前に、Windowsホストの場合はVMware Workstation Proの最新バージョン、IntelベースのmacOSホストの場合はVMware Fusion Proの最新バージョンをダウンロードしてインストールしてください。Workstation ProFusion Proは、Broadcomから個人および商用利用の両方で無料提供されています。
  • Windowsホストでは、VMware製品は Hyper-V ハイパーバイザーと共存しない場合があります。最適なエクスペリエンスを得るには、VMwareが仮想マシンを起動できることを確認してください。これには、Hyper-Vを無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
  • 7-Zip(Windows ホストの場合) またはKeka(macOS ホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。講座で使用するメディアファイルは大きく4050GBです。ダウンロードが完了するまで、十分な時間を確保してください。インターネット接続と速度は大きく異なり、さまざまな要因によって左右されます。そのため、教材のダウンロードにかかる時間の見積もりを概算することはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。講座初日からすぐ必要になります。これらのファイルのダウンロードは受講前日の夜まで待たずに開始してください。

コース教材には、「セットアップ手順」ドキュメントが含まれており、ライブ講座への参加、オンラインクラスを受講開始する前に実行する必要がある重要な手順が詳細に説明されています。これらの手順を完了するには、30分以上かかる場合があります。

講座では、ラボの指示に電子ワークブックを使用しています。この新しい環境では、コースラボに取り組んでいる間、教材を見やすくするために、2台目のモニターやタブレット端末があると便利です。

ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。

FOR508 コース概要

脅威ハンティング、インシデント対応、デジタルフォレンジックの手法と手順は急速に進化し続けています。侵害されたシステムを適切に特定できない、時代遅れのインシデント対応や脅威ハンティングの手法を使い続ける余裕はもはやありません。重要なのは、攻撃者が目的を達成し、組織に甚大な被害を与えた後ではなく、セキュリティシステムを突破する攻撃を常に監視し、侵入が進行中の段階で捕捉することです。この脅威ハンティング研修コースでは、アナリストがMicrosoft Windowsベースのエンタープライズネットワークにおける幅広い脅威をハンティング、特定、対策、復旧するための高度なスキルを習得できます。さらに、AIを活用した強力なフォレンジック処理およびレビュー技術を取り入れることで、個々のアナリストまたはアナリストチームの能力を大幅に向上させます。

脅威ハンティングとインシデント対応の手法と手順は急速に進化し続けています。侵害されたシステムを適切に特定できず、侵害の封じ込めに効果がなく、最終的にインシデントを迅速に修復したり、ランサムウェアの拡散を阻止したりできない、時代遅れのインシデント対応や脅威ハンティングの手法を使い続ける余裕はもはやありません。インシデント対応および脅威ハンティングチームは、マルウェアの兆候や活動パターンを特定・監視し、現在および将来の侵入を検知するために活用できる正確な脅威インテリジェンスを生成する上で重要な役割を果たします。

この詳細なインシデント対応および脅威ハンティング研修コースでは、アナリストがMicrosoft Windowsベースの企業ネットワークにおける幅広い脅威(国家支援型APT攻撃者、組織犯罪グループ、ランサムウェア攻撃者、ハクティビストなど)を追跡、特定、対処、復旧するための高度なスキルを習得できます。本コースは、最新のWindowsベースのネットワーク侵入で残された痕跡を発見・解釈する能力をアナリストに養成することに重点を置いています。同時に、最先端のAI支援ツールと技術を取り入れることで、個々のアナリスト、あるいはアナリストチームが対応活動を大幅に拡大できるよう支援します。

インシデント対応に人工知能を活用することは、防御側が同じくこの技術を駆使する攻撃者に追いつく必要があるため、急速に重要なスキルになりつつあります。そのため、このコースは、今日の最も高度な脅威に対抗するために必要な知識とツールをアナリストに提供します。また、高度な侵入の検出と対応における実務スキルを証明するGCFA認定(GIAC認定フォレンジックアナリスト)の主要な準備コースとしても機能します。

FOR508:高度なインシデント対応と脅威ハンティングのトレーニングでは、以下のことができるようになります。
  • 侵害が発生した状況と日時を特定し、影響を受けたシステムを特定する
  • アクセス、盗難、または変更されたデータを含め、侵害の範囲と影響を評価する
  • 企業環境全体でインシデントを封じ込め、修復する
  • 攻撃者の活動を追跡し、調査のための脅威インテリジェンスを開発する
  • 攻撃者の手法を用いて、侵害された他のシステムを特定する
  • インシデント対応の有効性と調査効率を向上させる
  • インシデント対応とフォレンジックのスキルを証明するGCFA認定試験の準備を行う
この実践的なインシデント対応トレーニングは、現実世界の攻撃を封じ込め、排除するために必要なプロセスとマインドセットを習得するように設計されています。また、デジタルフォレンジックとインシデント対応の分野で業界から高い評価を得ている資格であるGCFA認定資格の取得に必要なスキルとテクニックを強化します。

受講対象者

  • APTグループや高度な攻撃者による複雑なセキュリティインシデント/侵入に定期的に対応し、企業内のエンドポイント全体における侵害されたシステムの検出、調査、修復、復旧方法を理解する必要があるインシデント対応チームメンバー
  • 脅威をより深く理解し、脅威から学ぶことで、より効果的に脅威をハンティングし、その技術に対抗する方法を模索している脅威ハンター
  • アラートをより深く理解し、イベントのトリアージに必要なスキルを習得し、高度なエンドポイント検出・対応(EDR)機能を最大限に活用したいと考えているSOCアナリスト
  • メモリおよびタイムラインフォレンジック、高度な技術を持つ人物の調査、インシデント対応戦術、高度な侵入調査に関する理解を深めたいと考えている経験豊富なデジタルフォレンジックアナリスト
  • より効果的な侵入検知メカニズムを構築するために、攻撃者の技術をより深く理解する必要がある検知エンジニア
  • データ侵害インシデントや侵入への対応を直接支援する情報セキュリティ専門家
  • 高度な侵入調査とインシデント対応を習得し、従来のホストベースのデジタルフォレンジックを超えた調査スキルを習得したい連邦捜査官および法執行機関の専門家
  • レッドチーム、ペネトレーションテスター、エクスプロイト開発者で、相手が自分たちの行動をどのように特定できるか、よくあるミスがリモートシステム上での運用をいかに危険にさらすか、そしてそれらのミスを回避する方法を学びたい人向け
  • SANS FOR500およびSEC504の修了者で、スキルを次のレベルに引き上げたいと考えている方

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

高度なインシデント対応と脅威ハンティング

まず、高度な脅威グループへのインシデント対応に適用される6段階のインシデント対応方法論を検証します。攻撃者の目的に影響を与えるためのサイバー脅威インテリジェンス開発の重要性について議論し、単一システムと企業全体のシステムの両方に適用できるフォレンジックライブレスポンス手法を実演します。

取り上げられるトピック

  • 実際のインシデント対応戦術
  • 企業全体におけるインシデント対応と脅威ハンティング
  • インシデント対応のための人工知能
  • マルウェアと永続的脅威の特定
  • 認証情報窃取の防止と軽減

 ラボ

  • APTインシデント対応シナリオの概要
  • マルウェア持続性の検出と分析
  • トリアージ証拠画像の作成
  • リモートエンドポイントインシデント対応の拡張

概要

現代の企業に対する脅威は無数にあり、攻撃者は企業ネットワークが膨大で複雑であることを悪用してきました。近年、組織に対する高度な攻撃が劇的に増加しています。国家支援型の攻撃者、いわゆる高度標的型攻撃(APT)グループへの対策は困難を極めています。世界中の脅威グループによる金銭目的の攻撃は数十億ドルもの損失をもたらし、ランサムウェアや恐喝は事実上すべての組織にとって存亡の危機となっています。こうした厳しい状況の中、優秀なセキュリティチームはこれらの脅威を管理・軽減できることを証明しています。FOR508は、こうした苦労して得られた教訓を教育の場にもたらすことを目指しています。

まず、インシデント対応プロセスと攻撃ライフサイクルの各段階、そしてアクティブな侵入の追跡とプロアクティブな脅威ハンティングにおけるサイバー脅威インテリジェンスの重要性について学びます。また、効果的なインシデント対応および脅威ハンティングプログラムにおいてAIを活用する重要な側面についても議論します。調査の継続的なレビューと管理のために、人間が常に関与し続けることが重要な要素となります。このコースの主な目的は、現代のWindowsベースのネットワーク侵入で残された痕跡を見つけ出し、解釈する方法を人間のアナリストに教えることです。これらのスキルは、AIの支援の有無にかかわらず、信頼性の高い対応を行う上で不可欠です。受講者はこの知識を習得するとともに、拡張性の高い対応のためにAIの力を活用する準備を整えることが可能になります。

セクション1では、一般的なマルウェアの特徴を詳しく見ていき、攻撃者がネットワーク内での永続性を維持するために使用する手法を深く掘り下げます。永続性は通常、攻撃ライフサイクルの初期段階で確立されるため、受講者はネットワークを監査して早期検出を可能にするハンティング手法を学びます。特に、Living off the landバイナリ(ほとんどの環境で利用可能なローカルツール)、PowerShell、WMIベースの攻撃は、高度な攻撃者にとって標準的な手法となっています。受講者は、このような攻撃を大規模に特定するためのツールと手法について、実践的な演習を幅広く行います。このセクションの最後では、Microsoftの認証情報について深く掘り下げます。現代の企業における認証情報の複雑さは、いくら強調してもしすぎることはありません。その結果、認証情報の漏洩は、企業ネットワーク全体に存在する最大の脆弱性となることがよくあります。受講者は、認証情報を標的とするために使用されるツールや手法を理解することで、これらの破壊的な攻撃を防止、検知、軽減する方法を学びます。

ラボの詳細

  • APTインシデント対応シナリオの紹介
  • マルウェアの持続性分析
  • KAPEを使用したトリアージイメージの作成
  • Velociraptorを使用したリモートエンドポイントのインシデント対応、ハンティング、分析の拡張

トピックの詳細

  • 実際のインシデント対応戦術
    • 準備:インシデント対応チームが侵入に効果的に対応するために必要な主要なツール、技術、および手順を準備する
    • 識別/スコープ設定:インシデントの適切なスコープ設定と、企業内のすべての侵害されたシステムの検出をする
    • 封じ込め/インテリジェンス開発:脅威インテリジェンスを開発するために、アクセス制限、監視、攻撃者に関して学ぶ
    • 根絶/修復:現在のインシデントを阻止し、リアルタイムの修復に移行するために必要な主要な手順を決定し、実行する
    • 復旧:インシデントにつながるシステム上の脆弱性に対処する
    • 教訓/脅威インテリジェンスの活用:発見されたTTPを活用し、将来的に同様の侵入を継続的に追跡・検出する
  • 脅威ハンティング
    • ハンティングとリアクティブ対応
    • インテリジェンス主導のインシデント対応
    • 継続的なインシデント対応/脅威ハンティング能力の構築
    • エンドポイント全体におけるフォレンジック分析と脅威ハンティング
    • 脅威ハンティングチームの役割
    • ATT&CK - MITREの敵対的戦術、手法、および共通知識
  •  インシデント対応における人工知能
    • データプライバシーに関する考慮事項
    • 不可欠なヒューマン・イン・ザ・ループ・チェックポイント
    • 精度向上のためのAI意思決定範囲の制限
    • コンテキストウィンドウとトークン制限に関する注意
    • 人の調査担当者の負担増
  • マルウェア
    • 侵害されたシステムの特定
    • アクティブおよび休止状態にあるマルウェアの検出
    • コード署名のためのデジタル署名
    • マルウェアの特性
    • 一般的な潜伏および永続化メカニズム
    • 正常な動作を理解することによる悪意のあるマルウェアの検出
    • 組み込みコマンド(「環境寄生型」)およびサードパーティ製ユーティリティの悪用
  • マルウェアの永続化特定
    • 自動起動場所、RunKeys
    • サービスの作成/置換
    • サービス障害からの回復
    • スケジュールされたタスク
    • DLLハイジャック攻撃
    • WMIイベントコンシューマー
  •  企業全体におけるインシデント対応とインシデントハンティング
    •  迅速対応ツールソリューション
    • PowerShellリモート処理
    • PowerShellリモート処理における認証情報の保護
    • Kansa PowerShellリモート処理IRフレームワーク
    • KAPEトリアージ収集ツール
    • Velociraptorインシデント対応プラットフォーム
  • 認証情報盗難の防止、検出、および軽減
    • Pass-the-Hash
    • トークン盗難
    • キャッシュされた認証情報
    • LSAシークレット
    • NTLM攻撃
    • Kerberos攻撃
    • ゴールデンチケット
    • Kerberoasting
    • DCSync
    • NTDS.DIT​ 盗難
    • BloodhoundおよびActive Directory グラフ化
    • MimikatzMetasploitなどによる認証情報攻撃
    • 技術的な緩和策

侵入分析

セクション2では、一般的な攻撃者の手口を解説し、企業内で悪意のある活動を特定するために使用できる様々なデータソースとフォレンジックツールについて説明します。さあ、ハンティングの準備をしましょう。

 取り上げられるトピック

  • 高度な実行証拠の検出
  • ラテラルムーブメントにおける攻撃者の戦術と手法
  • インシデント対応者とハンターのためのログ分析
  • WMIおよびPowerShellベースの攻撃の調査

ラボ

  • 大規模な実行証拠のハンティングと検出
  • 資格情報不正使用の検出
  • ラテラルムーブメントの追跡
  • WMI、PowerShell、およびMicrosoft Defenderのログ分析

概要

最も高度な攻撃者でさえ、痕跡を残さずに済むことはありません。最高のハンターの秘密を学びましょう。

サイバー防御担当者は、ネットワーク上の攻撃者の活動を特定、追跡、監視するために、多種多様なツールとアーティファクトを利用できます。攻撃者の行動はそれぞれ対応するアーティファクトを残し、残された痕跡を理解することは、レッドチームとブルーチームの両方にとって非常に重要です。攻撃は予測可能なパターンに従うため、私たちはそのパターンの不変な部分に調査の焦点を当てます。例えば、攻撃者は目的を達成するためにコードを実行する必要があります。この活動は、Prefetch、Shimcache、Amcacheなどのアプリケーション実行アーティファクトによって特定できます。攻撃者はコードを実行するために1つ以上のアカウントも必要とします。したがって、アカウント監査は悪意のある活動や異常な活動を明らかにする強力な手段となります。イベントログ分析は、攻撃者が残した疑わしい活動を発見する多くの機会を提供するため、このコースのこのセクションの主要な要素です。

ラボの詳細

  • PrefetchShimcacheAmcache を用いた大規模な実行証拠の探索と検出
  • イベントログの収集と分析による認証情報の不正利用の検出
  • イベントログ分析によるラテラルムーブメントの追跡
  • WMI、PowerShell、およびMicrosoft Defenderのログ分析

トピックの詳細

  • 高度な実行証拠の検出
    • プロセス実行を通じて観察される攻撃者の戦術、手法、および手順(TTP)
    • プリフェッチ分析
    • アプリケーション互換性キャッシュ(ShimCache)
    • Amcacheレジストリの調査
    • ShimCacheAmcacheの調査の拡張
  • ラテラルムーブメントにおける攻撃者の戦術、手法、および手順(TTP)
    • 認証情報の侵害手法
    • リモートデスクトップサービスの悪用
    • Windows Admin Shareの不正利用
    • PsExecCobalt Strike BeaconPsExecアクティビティ
    • Windowsリモート管理ツールのテクニック
    • PowerShellリモート処理/WMICハッキング
    • Cobalt Strikeのラテラルムーブメントと認証情報の利用
  • インシデント対応者とインシデントハンターのためのログ分析
    • アカウントの使用状況とログオンのプロファイリング
    • ラテラルムーブメントの追跡とハンティング
    • 不審なサービスの特定
    • 不正アプリケーションのインストールの検出
    • マルウェア実行の検出とプロセス追跡
    • コマンドラインとスクリプトのキャプチャ
    • アンチフォレンジックとイベントログの消去
    • 人工知能を用いたログ分析
  • WMIおよびPowerShellベースの攻撃の調査
    • WMIの概要
    • キルチェーン全体にわたるWMI攻撃
    • WMIリポジトリの監査
    • WMIファイルシステムとレジストリの残余
    • コマンドライン分析とWMIアクティビティのログ記録
    • PowerShellトランスクリプトとScriptBlockのログ記録
    • Cobalt Strike BeaconPowerShellインポートアクティビティの検出
    • Cobalt StrikeMetasploitEmpireからのPowerShellインジェクションの検出
    • PowerShellスクリプトの難読化
    • Microsoft Defenderのログ、検出履歴、MPLog分析

インシデント対応と脅威ハンティングにおけるメモリフォレンジック

​​セクション3では、利用可能な最も強力なメモリ分析機能の多くを取り上げ、使用するツールセットに関わらず、調査を強力に推進するための高度なメモリフォレンジックスキルの確固たる基盤をアナリストに提供します。

取り上げられるトピック

  • エンドポイント検知と対応
  • ​​メモリ取得とフォレンジック分析
  • メモリフォレンジック調査
  • メモリ分析ツール

ラボ

  • メモリ内のカスタムマルウェアの検出
  • Windowsプロセスツリーの調査
  • プロセスオブジェクトの分析
  • コードインジェクションとルートキット隠蔽技術の特定
  • メモリから対象を絞ったデータ抽出の実行

概要

メモリ分析の使用は、時に不正行為のように感じることがあります。アクティブな攻撃の検出は、これほど容易であってはなりません。

メモリフォレンジックは長年にわたり大きく進化を遂げてきました。現在では、多くの高度なツールスイートの重要な構成要素であり、インシデント対応や脅威ハンティングチームの成功の鍵となっています。メモリフォレンジックは、ワーム、ルートキット、PowerShell攻撃、ランサムウェアの前駆、標的型攻撃者が使用する高度なマルウェアの証拠を見つけるのに非常に効果的です。実際、メモリ分析なしでは解明がほぼ不可能なファイルレス攻撃もあります。メモリ分析は従来、Windows内部構造の専門家やリバースエンジニアの領域でしたが、新しいツール、技術、検出ヒューリスティックの登場により、状況は大きく改善され、現在ではすべての調査員、インシデント対応担当者、脅威ハンターが利用できるようになりました。さらに、メモリ内の攻撃パターンを理解することは、幅広いエンドポイント検出・対応(EDR)製品に適用できるアナリストの中核的なスキルであり、これらのツールの有効性をさらに高めています。 

ラボの詳細

  • 企業環境内の複数のシステムにおけるメモリ内に潜む、活動中および休眠状態の未知のカスタムマルウェアを検出
  • Windowsのプロセスツリーを調べて、正常なプロセスと異常なプロセスを識別
  • 標的型攻撃者がコマンドアンドコントロール(C2)チャネルにアクセスするために使用する一般的なポートを介して、高度な「ビーコン」マルウェアの検出
  • メモリ内の文字列をスキャンし、コマンド履歴バッファデータを抽出することで、攻撃者の残存コマンドラインアクティビティを検出
  • MFTやWindowsレジストリなどのフォレンジックアーティファクトを含む、メモリからキャッシュされたファイルの抽出
  • 最小発生頻度(LFO)スタッキング技術を用いて、侵害されたシステムメモリを基準システムと比較
  • コードインジェクションやルートキットなどの高度なマルウェア隠蔽手法の特定
  • 脆弱なドライバー持​​ち込み(BYOVD)攻撃とその検出方法の理解
  • 侵害の兆候(IOC)を用いて分析を自動化
  • REMnux MCPサーバーで生成されたAI支援リバースエンジニアリングレポートの確認
  • 感染システムのメモリ分析:
    • Stuxnet
    • TDL3/ TDSS
    • CozyDuke APT29 RAT
    • Rundll32Living Off the Landの実行
    • Zeus/Zbot/Zloader
    • Amadey
    • Emotet
    • SolarMarker/Jupyter
    • Black Energy ルートキット
    • WMIPowerShell
    • Cobalt StrikeビーコンとPowerpick
    • Cobalt Strike犠牲プロセス

トピックの詳細

  • エンドポイント検出および対応 (EDR)
    • EDRの機能と課題
    • EDRとメモリフォレンジック
  • メモリ取得
    • システムメモリの取得
    • 休止状態とページファイルメモリの抽出と変換
  • 対応とハンティングのためのメモリフォレンジック分析プロセス
    • 一般的なWindowsサービスとプロセスの理解
    • 不正プロセスの特定
    • プロセスオブジェクトの分析
    • ネットワークアーティファクトの確認
    • コードインジェクションの証拠の探索
    • ドライバーの監査とルートキット検出
    • 疑わしいプロセスとドライバーのダンプ
  • メモリフォレンジック調査
    • ライブメモリフォレンジック
    • Volatilityを使用したメモリ分析
    • プロセスツリー分析によるWebshel​​l検出
    • メモリ内のコード インジェクション、マルウェア、ルートキットの検出
    • MemProcFSを使用した高度なメモリフォレンジック
    • WMIおよびPowerShellプロセスの異常
    • メモリ常駐の攻撃者のコマンドラインの抽出
    • Windowsサービスの調査
    • 比較ベースラインシステムを使用したマルウェアの検出
    • RAMからキャッシュされたファイルの検索とダンプ
    • REMnux MCPサーバーを使用したAIによる疑わしいコードのトリアージ
  • メモリ分析ツール
    • Velociraptor
    • Volatility
    • MemProcFS

タイムライン分析

このセクションでは、DFIR分析で使用されるタイムラインの作成と分析における2つの主要な手法について解説します。タイムラインの作成方法と、それらを効果的に活用して迅速に回答を見つける方法を実演します。最後に、DFIR調査をさらに強化・加速するためのエージェント型AIについて考察します。

取り上げられるトピック

  • タイムライン分析の概要
  • ファイルシステムタイムラインの作成と分析
  • スーパータイムラインの作成と分析
  • DFIR調査のためのエージェント型AI

ラボ

  • ファイルシステムのタイムライン作成と分析
  • スーパータイムラインの作成
  • スーパータイムライン分析による攻撃者の活動追跡
  • Agentic AIによるスケーリング分析
  • Elasticsearchによるスケーリング分析

概要

コンピュータシステムには、あらゆる場所に時間データが存在します。ファイルシステムのタイムスタンプ、ログファイル、ネットワークデータ、レジストリキー、ブラウザ履歴など、すべてに時間データが含まれており、これらを関連付けて分析することで、インシデントを迅速に解決できます。法律や報道といった他の調査分野と同様に、タイムライン分析はデジタル捜査において重要な手法であることが証明されています。タイムライン分析を用いることで、捜査官は個々の証拠を攻撃者の行動に関する一貫したストーリーへと変換できます。アナリストがインシデントの様々な側面を明らかにするにつれて、タイムラインはインシデントを最初の感染まで遡り、攻撃者のその後の行動を追跡するための地図となります。これは、単一のシステムで何が起こったのか、あるいは多数のシステムにわたって何が起こったのかを理解する上で、同様に有効です。侵入がどのように展開したかを効果的に報告するために、証拠を解釈する上で、これは重要な手法です。

タイムライン分析の説明に続いて、AI、特にエージェント型AIがアナリストにどのような大きな相乗効果をもたらすかについて見ていきます。エージェント型AIは、ユーザが質問をして回答を受け取るという従来のチャットボットのユースケースを超えています。エージェント型AIでは、ユーザがAIにタスクの実行を依頼します。エージェントはツールを使用し、データをレビューし、意思決定を行い、タスクが完了するまで後続の手順を実行します。AI技術は急速に進歩しており、今後も改善され続けるでしょうが、すでに迅速かつ効果的に法医学的証拠を分析する能力を備えています。しかし、完璧ではありません。そのため、AIを効果的に活用するには、訓練を受けたアナリストが不可欠です。FOR508は、人間のアナリストが作業を行うためのトレーニングに重点を置いていますが、このセクションでは、AIが分析の重要な部分を加速し、DFIR調査の質と速度を向上させる方法についても探究します。

ラボの詳細

  • ファイルシステムメタデータを活用して、マルウェアのインストール、横方向の移動、機密データへのアクセスといった攻撃者の活動を迅速に特定しする
  • 高度な攻撃者が自身の存在を隠蔽するために使用する、隠蔽された「タイムスタンプ」された攻撃者ファイルを見つけ出す
  • タイムラインの証拠を遡って分析し、侵入の潜在的な根本原因を特定する
  • タイムラインのアーティファクトをフィルタリングして、最も重要なデータソースを効率的に抽出する方法を学ぶ
  • Elasticsearchを活用して、複数のシステムからタイムラインを迅速にレビューする
  • Valhuntirのエージェント型AIプラットフォームを使用して、分析用のデジタル証拠を送信する
  • ValhuntirのAI分析によって提示された、発見された所見、侵害の兆候、攻撃のタイムラインを確認する
  • Valhuntirのアナリストポータルを通じて、AIが生成した所見を評価し、承認、却下、または編集することで、ヒューマン・イン・ザ・ループ(HITL)レビューを実践する

トピックの詳細

  • タイムライン分析の概要
    • タイムラインのメリット
    • 前提知識
    • ピボットポイントの特定
    • タイムラインのコンテキストヒント
    • タイムライン分析プロセス
  • ファイルシステムタイムラインの作成と分析
    • MACBタイムスタンプ
    • Windowsの時間ルール(ファイルのコピーとファイルの移動)
    • SleuthkitflsMFTECmdを使用したファイルシステムタイムラインの作成
    • mactimeツールを使用したボディファイルの分析とフィルタリング
  • スーパータイムラインの作成と分析
    • スーパータイムライン分析の概要
    • log2timeline/Plaso を使用したスーパータイムラインの作成
    • log2timeline/Plaso のコンポーネント
    • プログラム実行、ファイルオープン、Web ブラウジングアクティビティなどの証拠の特定
    • psort を使用したスーパータイムラインのフィルタリング
    • ターゲットを絞ったスーパータイムラインの作成
    • スーパータイムライン分析の手法
    • Elasticsearch (ELK) を使用したスーパータイムライン分析のスケーリング
  • エージェント型 AI を使用した分析のスケーリング
    • DFIR におけるエージェント型 AI の機会と課題
    • DFIR における AI の基本ルールの確立
    • Timesketch を使用したタイムライン分析のスケーリング
    • AI 支援分析のための Timesketch の機能強化
    • AI 支援分析のための Valhuntir の紹介
    • Valhuntir の機能とアーキテクチャ

企業全体におけるインシデント対応とハンティング | 高度な攻撃者検知とアンチフォレンジック対策

セクション5では、調査に必要なファイル、ファイルフラグメント、ファイルメタデータの復元に焦点を当てます。これらのトレースアーティファクトは、アナリストが削除されたログ、攻撃ツール、マルウェア設定情報、盗み出されたデータなどを検出するのに役立ちます。侵入事例に非常に関連していますが、これらの手法はほぼすべてのフォレンジック調査に適用できます。

取り上げられるトピック

  • ボリュームシャドウコピー分析
  • 高度なNTFSファイルシステム戦術
  • 高度な証拠復旧

ラボ

  • ボリュームシャドウスナップショット分析
  • NTFSを使用したアンチフォレンジック分析
  • 高度なデータ復旧

概要

高度な攻撃者は常に進化を続けています。私たちもそれに追いつく必要があります。

攻撃者は通常、侵害したシステム上で自身の存在を隠蔽するための手段を講じます。フォレンジック対策の中には比較的容易に検出できるものもありますが、オペレーティングシステムとファイルシステムに関する深い知識を必要とするものもあります。そのため、フォレンジックアナリストやインシデント対応担当者は、重要な痕跡が残る可能性のあるオペレーティングシステムとファイルシステムの内部構造を深く理解することが重要です。このセクションでは、攻撃者が削除したと考えたファイル、ファイル断片、メタデータを復元する方法を学びます。これらの痕跡から、攻撃者のツール、マルウェアの設定、データ漏えい活動を明らかにすることができます。

ラボの詳細

  • ボリュームシャドウスナップショット分析
  • ボリュームシャドウスナップショットデータを取り込んだタイムラインの生成
  • NTFSファイルシステムコンポーネントを使用したフォレンジック対策分析
  • 「タイムスタンプ」の識別と不審ファイルの検出
  • ファイルおよびレコードのカービングによる高度なデータ復旧

トピックスの詳細

  • ボリュームシャドウコピー分析
    • ボリュームシャドウコピーサービス
    • ボリュームスナップショット内の履歴データへのアクセスオプション
    • Arsenal Image Mounter を使用したシャドウコピーへのアクセス
    • vshadowmount を使用したシャドウコピーへのアクセス
  • 高度なNTFSファイルシステム戦術
    • NTFSファイルシステム分析
    • マスターファイルテーブル(MFT)の重要な領域
    • NTFSシステムファイル
    • NTFSメタデータ属性
    • $StdInfoおよび$FilenameWindowsタイムスタンプのルール
    • タイムスタンプ操作の検出
    • 常駐ファイルと非常駐ファイル
    • 代替データストリーム
    • NTFSディレクトリ属性
    • B-Treeインデックスの概要とバランス調整
    • $I30インデックスを使用して消去/削除されたファイルを検出
    • ファイルシステムのフライトレコーダー:$Logfile$UsnJrnl
    • ジャーナルにおける便利なフィルターと検索
    • NTFSファイルシステムからデータが削除されるとどうなるか?
  • 高度な証拠回復
    • 一般的なワイパーとプライバシークリーナーのマーカー
    • 削除されたレジストリキー
    • レジストリにおける「ファイルレス」マルウェアの検出
    • ファイルカービング
    • NTFSアーティファクトとイベントログレコードのカービング
    • 効果的な文字列検索
    • アンチフォレンジック対策のためのNTFS構成変更

APT脅威グループ インシデント対応チャレンジ

この非常に充実した、現実的な企業侵入演習では、Windowsエンタープライズ環境全体への実際の侵入事例を用いて、これらすべてを網羅します。システムが最初にどのように侵害されたかを明らかにし、攻撃者のラテラルムーブメントを通じて他の侵害システムを見つけ出し、データ窃取によって盗まれた知的財産を特定することが求められます。

概要

最終的な侵入ラボを解くには、Windows 10および11ワークステーション、DMZサーバー、ドメインコントローラー、社内開発サーバー、ホスト型Exchangeメールなど、30以上のシステム上のアーティファクトを調査する必要があります。このコースでは、高度な脅威との闘いにおいて数十年の経験を持つ講師陣が監修する、実際の攻撃を調査する実践的な経験を積むことができます。

トピックスの詳細

  • 侵入フォレンジックチャレンジでは、多数のエンドポイントを持つ企業ネットワークの複数のシステムを分析する必要があります。
  • ネットワーク全体にわたる攻撃者の行動を特定・追跡し、初期のエクスプロイト、偵察、パーシスタンス、認証情報のダンプ、ラテラルムーブメント、ドメイン管理者への昇格、データの窃取/流出を発見する方法を学びます。
  • チームベースのインシデント対応アプローチを目の当たりにし、参加します。
  • Cobalt Strike、Sliver、Covenant、リモート監視・管理(RMM)ツール、PowerShellエクスプロイトフレームワーク、国家主導のカスタムマルウェアなど、現在最も一般的かつ高度な攻撃の証拠を発見します。
  • チャレンジ中、各インシデント対応者は、組織内で実際に侵入が発生した場合と同様に、以下の各カテゴリにおける重要な質問に回答し、重要な問題に対処することが求められます。
識別とスコープ設定:
  • ネットワークはいつ、どのように侵入されましたか?「最初の感染者」となるシステムはどれですか?
  • 最初の感染はどのように発生し、攻撃者に足掛かりを与えましたか?どのような種類のエクスプロイトが使用されましたか?
  • 攻撃者はいつ、どのようにして各システムにラテラルムーブメントしましたか?
  • 攻撃者の主要および二次的なコマンド&コントロールバックドアは何でしたか?
封じ込めと脅威インテリジェンスの収集:
  • 攻撃者はいつ、どのようにしてドメイン管理者の認証情報を入手しましたか?
  • 攻撃者は各システムで何を探しましたか?
  • 被害評価:どのようなデータが盗まれましたか?
  • 被害評価:メールへのアクセスまたは盗難はありましたか?
  • アンチフォレンジック活動の証拠は発見されましたか?
  • 攻撃者はクラウドコンピューティングリソースやクラウドストレージデータなどのクラウドベースのリソースにアクセスできましたか?
  • 脅威インテリジェンス:ホストベースおよびネットワークの侵害指標をカタログ化します。
修復と復旧:
  • どの程度のレベルのアカウント侵害が発生しましたか?修復中にパスワードの完全なリセットは必要ですか?
  • インシデント中に発見された攻撃者の手法とツールに基づいて、このインシデントからの修復と復旧に推奨される手順は何ですか?
  • 再構築が必要なシステムは何ですか?
  • ブロックする必要があるIPアドレスは何ですか?
  • これらの攻撃者が再び現れた場合、その速度を遅らせたり阻止したりするために、どのような対策を講じるべきでしょうか?
  • これらの侵入者をネットワーク内で再び検出するために、どのような推奨事項がありますか?

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ