NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Intrusion Detection In-Depth
Cyber Defense Essentials
English2022年2月28日(月)~3月5日(土)
1日目: 9:00-19:30
2日目~6日目: 9:30-19:30
オンライン
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!次の手順に従ってシステムを構成してください。
このコースに完全に参加するには、適切に設定されたシステムが必要です。この説明書をよく読み、それに従わなければ、このコースに不可欠な実習に参加することができず、満足して授業を終えることができません。したがって、このコースで指定されているすべての要件を満たすシステムでお越しになることを強くお勧めします。
重要な注意:M1プロセッサラインを使用したAppleシステムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。
トレーニングイベントで提供されるLinuxのVMwareイメージをラップトップで実行し、クラスで行われるハンズオン演習に使用する必要があります。Linuxに慣れ親しみ、コマンドラインでコマンドを入力することができれば、実践的な演習をスムーズに行うことができます。
ホストのオペレーティング・システム Windows 10、macOS 10.15.x以降、またはLinuxの最新版で、後述のVMware仮想化製品をインストールして実行できるもの。最新のUSB 3.0デバイスを利用するためには、適切なドライバーやパッチをインストールする必要があるため、授業の前にホストOSを完全にアップデートする必要があります。また、Linuxホストをお使いの方は、適切なカーネルまたはFUSEモジュールを使用してexFATパーティションにアクセスできる必要があります。また、VMが正常に動作するためには、8GB以上のRAMと、60GB以上のハードディスクの空き容量が必要です。
授業の前に、VMware Workstation Pro 15.5.x、VMware Player 15.5.x、Fusion 11.5.x以上のいずれかのバージョンをダウンロードしてインストールしてください。VMware WorkstationまたはFusionのライセンス版をお持ちでない方は、VMware社から30日間の無料試用版をダウンロードできます。VMware社のウェブサイトで試用版に登録すると、期限付きのシリアル番号が送られてきます。
VirtualBoxやHyper-Vのような他の仮想化ソフトウェアは、互換性やトラブルシューティングの問題があるため、適切ではありません。
Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10のCredential GuardおよびDevice Guardテクノロジーとの互換性がありません。これらの機能がシステム上で有効になっている場合は、このドキュメントの指示に従って、クラスの期間中はこれらの機能を無効にしてください。
必須のラップトップハードウェア要件
適切な機器を持参し、事前に準備をすることで、学習内容を最大限に引き出し、楽しい時間を過ごすことができます。
コースのメディアはこれからダウンロードで配信されます。授業で使用するメディアファイルは、40〜50GBと大きいものもあります。ダウンロードが完了するまでには、十分な時間を確保する必要があります。インターネットの接続環境や速度は、様々な要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安を示すことはできません。リンクを入手したら、コースメディアのダウンロードを開始してください。コースメディアは、授業の初日にすぐに必要となります。クラス開始の前日の夜までダウンロードを待っていると、失敗する可能性が高くなります。
SANSでは、PDF形式の印刷物の提供を開始しました。さらに、一部のクラスでは、PDFに加えて、電子ワークブックを使用しています。電子ワークブックを使用するクラスの数は急速に増えるでしょう。このような新しい環境では、2台目のモニターやタブレット端末を使うことで、講師がプレゼンテーションをしている間や、ラボの演習に取り組んでいる間にも、クラスの教材を目にすることができて便利であることがわかりました。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)
SEC503は、情報セキュリティのキャリアにおいて、最も重要なコースの一つです。これまでに受講したクラスの中で最も難しいクラスであると同時に、最もやりがいのあるクラスであるとも言われています。このコースは、すぐに使える侵入検知システム(IDS)が発するアラートを単に理解しようとする人のためのものではありません。自分のネットワークで今何が起きているのかを深く理解し、どのツールも教えてくれないような非常に深刻なことが今起きているのではないかと疑っている人のためのコースです。ネットワーク上のゼロデイ活動を情報公開前に発見したいと考えている方には、最適なコースです。
このコースが他のトレーニングと違うのは、ネットワーク侵入検知とネットワークフォレンジックを教えるのに、ボトムアップのアプローチをとっていることです。このコースでは、ツールの使い方から始まり、そのツールをさまざまな状況でどう使うかを教えるのではなく、TCP/IPプロトコルがどのように機能するのか、そしてその理由を教えます。最初の2日間で「第二言語としてのパケット」と呼ばれるものを検証した後、一般的なアプリケーションプロトコルと、新しいプロトコルを研究し理解するための一般的なアプローチを追加します。このようにネットワークプロトコルの仕組みを深く理解した上で、業界で最も広く使われているツールに目を向け、この深い知識を応用していきます。その結果、このクラスを終了するときには、ネットワークの計測方法を明確に理解し、詳細なインシデント分析と再構築を行うことができるようになります。
このようなメリットがあるだけでも、このトレーニングを受ける価値は十分にあります。このコースを私たちが信じているように(そして受講生がそう言っているように)重要なものにしているのは、批判的思考スキルを身につけ、それをこれらの深い基礎知識に適用することを強制しているからです。その結果、現在使用されているほぼすべてのセキュリティ技術をより深く理解することができます。
今日の脅威的な環境でサイトのセキュリティを維持することは、かつてないほど困難なことです。セキュリティの状況は、かつては境界線の保護だけだったものが、ほとんど常に接続され、時には脆弱な状態にある露出したモバイルシステムの保護へと変化し続けています。そのため、侵入を検知・防止することができるセキュリティに精通した社員が求められています。SEC503で目指すのは SEC503: Intrusion Detection In-Depth」の目的は、洞察力と認識力を持ってネットワークを防御するためのコアとなる知識、ツール、テクニックを身につけることです。このトレーニングでは、実際の環境に戻ったときに、新しいスキルや知識をすぐに活用できるように準備します。
マーク・トウェインは、"It is easier to fool people than to convince them that they've been fooled." (人を騙すのは、騙されたことを納得させるよりも簡単だ)と言っています。あまりにも多くのIDS/IPSソリューションが、トラフィックの赤/緑、善/悪の単純な評価を提供しており、訓練を受けていないアナリストがそのフィードバックを絶対的な真実として受け入れています。このコースでは、適切な訓練を受けたアナリストは、IDSのアラートを最終的な評価ではなく、トラフィックを調査するための出発点として使用するという理論を強調します。SEC503では、アナリストはアラートにアクセスして、その意味や文脈を吟味する能力を持たなければならないという哲学を伝えます。このコースでは、アラートを調査し、再構築することで、それが注目すべきものなのか、誤った表示なのかを判断する方法を学びます。
このコースでは、自信を持ってネットワークを防御するために必要な技術的な知識、洞察力、および実践的なトレーニングを提供します。TCP/IPの基礎理論や、DNSやHTTPなどの最も使用されているアプリケーションプロトコルについて学習し、ネットワークトラフィックをインテリジェントに調査して侵入の兆候を見つけることができます。また、tcpdump、Wireshark、Snort、Zeek、tshark、SiLKなど、さまざまなツールを使いこなすための実践的な学習も行われます。すべての経験レベルに適した毎日の実践的な演習は、知識を実行に移すことができるように、コースブックの内容を強化します。夕方のBootcampセッションと演習では、日中に学んだ理論をすぐに実世界の問題に適用することが求められます。基本的なエクササイズには補助的なヒントが含まれており、上級者向けのオプションでは、すでに教材を知っている人や新しい教材をすぐにマスターした人向けに、よりチャレンジングな体験を提供します。
仮想マシン(VM)には、商売道具が用意されています。ネットワークトラフィックを含むデモ用PCAPが補足されています。これにより、ラップトップ上でコースの教材とデモに沿って学習することができます。また、PCAPは、特にこのコースに関連するGCIA認定のために、教材を復習する際に使用するネットワークトラフィックの良いライブラリとなります。
SEC503は、セキュリティアナリストなど、ネットワークを監視・防御する立場の方に最も適したコースですが、それ以外の方にも有益なコースとなっています。受講者は、経験豊富なアナリストから、TCP/IPのバックグラウンドを持つ初心者まで様々です。なお、授業で使用するVMwareイメージはLinuxディストリビューションであるため、授業に参加する前に、コマンドラインを使って入力するLinux環境に慣れておくことと、コアなUNIXコマンドを学んでおくことを強くお勧めします。
学ぶこと
できるようになること
SEC503のハンズオントレーニングは、初心者の方にもベテランの方にも親しみやすく、チャレンジングな内容になっています。各エクササイズには2つの異なるアプローチがあります。1つ目は、経験の浅い方向けのガイダンスとヒントを含み、2つ目はガイダンスを含まず、経験豊富な方向けとなっています。さらに、各エクササイズにはオプションで追加問題が用意されており、特に難易度の高いブレインティーザーを求める上級者のために用意されています。ハンズオン演習の一例は以下の通りです。
教材の内容
侵入検知(全レベル)、システム、セキュリティの各分野のアナリスト
ネットワークエンジニア/管理者
ハンズオンセキュリティマネージャー
GIAC Certified Intrusion Analyst は、ネットワークとホストの監視、トラフィック分析、および侵入検知に関する知識を検証する認定資格です。GCIA認定資格者は、侵入検知システムの設定および監視、ネットワークトラフィックおよび関連するログファイルの読み取り、解釈、分析に必要なスキルを有しています。
概要
このコースの最初のセクションでは、TCP/IPプロトコルスタックをボトムアップでカバーし、TCP/IPの再確認または導入を行います。これは、私たちが「第二言語としてのパケット」と考えるコースの最初のステップです。受講生は、攻撃に関わる実際のパケットを収集することの重要性を学び、すぐに低レベルのパケット解析に没頭することになります。TCP/IP通信モデル、ビット、バイト、2進法、16進法の理論、IPヘッダーの各フィールドの意味と期待される動作など、必要不可欠な基礎知識を学びます。オープンソースのWiresharkとtcpdumpツールを使ったトラフィック解析の方法を紹介します。
TCP/IP通信モデルの探求は、リンク層、IP層、IPv4とIPv6の両方、そして両方のパケットフラグメンテーションの学習から始まります。各層を説明し、理論や機能だけでなく、攻撃者と防御者の視点からトラフィックを分析します。
すべてのトラフィックは、Wiresharkとtcpdumpの両方を使って表示され、それぞれのツールの長所と短所が説明され、実演されます。受講者は、提供されたサンプルのトラフィックキャプチャファイルを見ながら、講師と一緒に学習を進めることができます。また、各トピックの後には複数のハンズオン演習を用意していますので、学習した内容を強化することができます。
トピック
TCP/IPの概念
ネットワークアクセス/リンク層 レイヤ2
IP Layer: レイヤ3
概要
BPFフィルタの作成
TCP
UDP
ICMP
実世界での分析 -- コマンドラインツール
概要
セクション3では、最初の2つのセクションの基礎をもとに、アプリケーション層のプロトコルの世界に入ります。ここでは、汎用性の高いパケットクラフトツールであるScapyを紹介します。これはPythonベースの非常に強力なツールで、パケットの操作、作成、読み取り、書き込みが可能です。Scapyは、IDS/IPSの検出能力をテストするためにパケットを作成するために使用することができます。これは、最近発表された脆弱性などのためにユーザーが作成した新しいIDSルールを追加する際に特に重要となります。このセクションでは、様々な実用的なシナリオとScapyの使い方を紹介します。
このセクションでは、最も広く使用されていて、時に脆弱な、重要なアプリケーションプロトコルのいくつかに焦点を当てています。DNS、HTTP(S)、SMTP、そしてマイクロソフトの通信です。侵入検知の重要なスキルであるプロトコル解析に特に注意を払っています。さらにWiresharkの機能を、インシデントの調査や、トラフィックデータの指標に基づいてイベントを再現するフォレンジックの文脈で検討します。
コースの最後には、アナリストの悩みの種である最新のIDS/IPSの回避方法について議論します。このような回避行為の背景にある理論を紹介し、文書化されていない現代の回避行為をいくつか説明するとともに、IDS市場全体における現在の検知ギャップについても議論します。また、異なるプロトコル層での回避行為の理論とその影響についても検討します。
受講者は、講師が用意したサンプルのトラフィックキャプチャファイルを見ながら学習を進めることができます。各主要トピックの後には4つのハンズオン演習があり、学習した内容を復習することができます。
セクション3の終わりでは、理論の領域から実践的な応用へと進みます。コースの最初の3つのセクションで学んだスキルと知識を応用して、最終的なキャップストーン課題で使用するデータの調査を行います。
トピックス
Scapy
Wiresharkの応用
アプリケーションプロトコルの検出方法
DNS
マイクロソフトプロトコル
最新のHTTPとTLS
SMTP
IDS/IPS 回避理論
注目すべきトラフィックの特定
概要
最初の3つのセクションで得た基本的な知識は、セクション4で最新のネットワーク侵入検知システムについて深く議論するための基礎となります。これまでに学んだことを総合して、Snort/Firepowerの最適な検知ルールの設計に応用し、さらにZeek(旧称:Bro)を使った振る舞い検知にも応用します。
まず、侵入検知・防御装置の特徴を含むネットワーク・アーキテクチャに関する議論と、スニッフィングしてトラフィックをキャプチャして検査することができる装置のオプションと要件に関する議論を行います。このセクションでは、導入オプションと考慮事項の概要を説明し、受講者はそれぞれの組織に適用される可能性のある特定の導入考慮事項を検討することができます。
このセクションの残りの部分は、大きく2つの部分に分かれています。1つ目は、最も一般的なアプローチである、SnortやFirepowerを使ったシグネチャベースの検知について説明します。2つ目は、Zeekの紹介と、Zeekのスクリプト言語とクラスタベースのアプローチを使った異常ベースの行動検知機能の構築に移ります。授業の前にすでにZeek(またはBro)を使っていた学生は、「この授業のセクションを見て、なぜ(Zeekが)重要なのか理解できました。これは本当にゲームチェンジャーです」とコメントしています。
Zeekの基本的な使用方法を説明した後、講師は、防御されたネットワーク内の潜在的なフィッシング活動を特定するための非常に強力な相関スクリプトの基礎として使用される、実践的な脅威分析プロセスを学生に指導します。さらに実践的な例として、行動分析と相関関係へのこのアプローチが、シグネチャ・ベースの検知ツールだけに頼ることの大きなギャップをいかに埋めることができるかを学生に示します。
このセクションでは、学生がより少ないガイドとより独立した分析へのアプローチに慣れることを奨励するために、フォーマルな指導は少なく、より長い実践的な演習を行います。これは、皆さんが現場で遭遇する可能性のある実際のインシデント調査の環境をシミュレートすることを目的としています。ハンズオンエクササイズは、各主要トピックの後に設けられており、学んだばかりの内容を強化する機会となります。
このセクションの最後にある教材は、学生を理論から実世界の状況での実用へと再び導きます。学生は、これまでに学んだすべてのテクニックを適用することで、最終的なキャップストーンに向けて、分析中のインシデントの理解を深めていきます。
IDS/IPS分析の概要
Snort
Zeek
概要
第5章では、これまでの傾向を踏襲して、フォーマルな授業を減らし、ハンズオンによる実践的なアプリケーションを紹介します。3つの主要なトピックで構成されており、まず実践的なネットワーク・フォレンジックと、データ駆動型のモニタリングとアラート駆動型のモニタリングの比較を探り、その後、これまでに培ったスキルをすべて使用しなければならないハンズオン・シナリオを行います。2番目のトピックでは、データ駆動型分析のテーマに沿って、NetFlowとIPFIXデータを使った大規模な分析と収集を紹介します。ネットワークのメタデータを利用して導き出される強力な相関関係と結論についての議論に続いて、学生はこの一連のツールを活用した2つ目のガイド付きシナリオに取り組み、さらにこの週に学んだ他のスキルも活用します。最後に、実践的なTLSの解析と傍受、より一般的なコマンド&コントロールの傾向と検知・解析のアプローチについて詳しく説明します。3つ目のシナリオは、授業後に生徒が取り組むことができるように用意されています。
トピック
ネットワークフォレンジック分析入門
ネットワーク・フロー・レコードの使用
コマンド&コントロール・トラフィックの検証
大規模pcapの解析
概要
このコースの最後には、スコアサーバーをベースにした楽しいハンズオンのIDSチャレンジがあります。最初の5つのセクションで学んだツールや理論を使用する必要がある多くの質問に答えるために、学生はソロプレイヤーまたはチームで競い合います。提示される課題は、一刻を争うインシデント調査の状況下で、何時間もの実戦的な実データに基づいています。この課題は、プロのアナリストのチームが同じデータに対して行った分析に基づいて、学生が質問に答えるという「ライド・アロング」イベントとして設計されています。