SECURITY 555

SIEM with Tactical Analytics

English

日程: 2023年3月6日(月)～3月11日(土)

期間: 6日間

講義時間: 1日目:9:00-19:30
2日目~5日目:9:30-19:30

受講スタイル: Live Online

会場: オンライン

GIAC認定資格: GCDA

講師: Scott Lynch|スコット　リンチ
SANS認定インストラクター

言語: 英語　英語教材・同時通訳

定員: 40名

CPEポイント: 46 Points

受講料

【為替差益還元キャンペーン※】1,080,000 円（税込み 1,188,000円)

※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

申込締切日: 2023年2月24日（金）

オプション

GIAC試験 135,000円（税込み 148,500円）
OnDemand 135,000円（税込み 148,500円）
NetWars Continuous 235,000円（税込み 258,500円）

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円（税込11,000円）をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ（英語）をご参照のうえ、GIACへ直接お申し込みください。

現在お申し込みを受け付けておりません

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC555 PC設定詳細

重要:以下の環境のノートPCをご持参下さい。
演習を円滑に進めていただくため、受講生の方はシステムを事前に適切な状態にしていただく必要があります。コースが始まる前までに、以下の説明に目を通して設定変更などを済ませてからお持ちください。

注意：M1プロセッサを使用するAppleシステムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。

Windows 10、macOS 10.15.x以降、Linuxの最新版で、後述のVMware仮想化製品をインストールし、利用することも可能です。また、VMの機能を十分に活用できるようにするため、実装メモリは8GB以上を搭載したものをご用意ください。特に注意いただきたいのは、演習で使用するVMが64ビットOSであるため、お持ちいただくノートPCも64ビット環境でなければなりません。具体的には、搭載されているCPUも64ビット、動作するホストOSも64ビットにそれぞれ対応していなければならないということです。そのためには、BIOSやUEFIでAMD-VやIntelVT-xなどの仮想化機能を有効化するだけではなく、関連するオプションも有効化しなければなりません。

本コースに参加されるにあたって、VMware Workstation 15.5やVMware Fusion 11.5 あるいはVMware Workstation Player 15.5 よりも新しいバージョンをダウンロードして、インストールまで済ませていただく必要があります。VMware WorkstationやFusionについては、VMwareから30日間のトライアルライセンスを発行してもらうことができます。トライアルライセンスは、VMwareのサイトから登録すると、トライアルライセンスのシリアルキーが電子メールで送られますので、期間中は大切に保管してください。

VirtualBoxやHyper-Vなどの他の仮想化ソフトウェアは、互換性や授業中に遭遇する可能性のあるトラブルシューティングの問題があるため非推奨です。Windows 10上のVMware Workstation ProおよびVMware Playerは、Credential GuardおよびDevice Guardと互換性がないため、これらの機能がで有効になっている場合は、このドキュメントの指示に従って、無効にしてください。

最低システム要件

64ビットのCPUで動作周波数が2.0GHｚ以上のもの（64ビット対応は必須要件です）
BIOS/UEFIへのアクセス権限：AMD-VやIntel VT-ｘを有効化しなければならないため、パスワード等による制限がかけられている場合は、その制限を解除できるように準備してください。
8GB以上のメモリ（最低でも8GB以上が必要で、それ以上の実装メモリを推奨します）
有線ネットワークポート（アダプタでも可）
無線ネットワーク接続 802.11B/G/N/ACのいずれかで接続できること
USB （3.0以上を推奨）
25GB以上の空きディスク領域
VMware Workstation 15.5、Workstation Player15.5 またはFusion11.5以降
演習で使用するLinuxのVMは、事前にSANSポータルサイトからダウンロードしていただきます。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40～50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

SEC555 コース概要

多くの組織ではログ収集を実践していますが、残念ながら収集したログの分析を行う人的リソースとプロセスが不足しているケースが散見されます。さらに、様々な箇所から非常に大量のログを収集するため、適切な分析を行うにはその収集元デバイスの役割や特徴を理解しておく必要があることが、更に状況を難しくしていると言えるでしょう。本コースでは、個々人に対するトレーニングはもちろん、方法論や既存のログ解析ソリューションの強化プロセスをカバーすると共に、ログに含まれる「いつ」、「何が」、「どうして」を把握するプロセスへの理解を深めていきます。このコースは、オープンソースのElasticsearch, Logstash, and Kibana (ELK) Stackとその他のオープンソースプロジェクトを活用し、SIEMソリューションを提供し、ハンズオンを通して大規模データ解析のマインドセットを提供する演習特化のコースです。

昨今のセキュリティ運用は「ビッグデータに」翻弄されるというよりも、むしろデータ分析をどう実施し、活用していくかが問題としてあげられるでしょう。膨大なデータを考える時、その収集した情報の内容を深く理解することに重点を置かず、複数の方法で保存と処理が行われていることを問題視する必要があるにも関わらずです。永遠とも思えるシステムの一覧や収集したログの海に溺れ、やる気を失わせる要素はいくらでもあります。この講義では、従来までの節操の無いログ収集システムから効果的運用が可能な戦略的SOCを構築するために必要な知識を提供します。

本コースは、SIEMのアーキテクチャーやプロセスを段階的に解説し、最終的にSOCを構築することを目標に設計されており、ご紹介する教材は、「適切」にSIEMプラットフォームを使用することで、膨大なログデータのなかから即座に有益な情報を抽出することが可能な内容になっています。例えば、受講生は収集されたインプット情報を、相関分析にかけることによって、有効で意味のある状態に仕立てる方法を学びます。受講生は繰り返しログ情報やイベントという鍵となる要素を分析することで、その情報の有効性を把握し、相関分析の方法を理解し、収集した複数の情報を基にした調査分析を行い、最終的に知り得た情報を使った有益だと考えられる情報の特定を行います。また、内部侵入後のおとりとなるトラップの設置方法を学習することで、洗練された侵入も素早く検知することが可能になります。コース全体を通して、受講生が現場に戻った際に活用可能な実践力を習得するために、テキストやラボの紹介に留まらず、実際に手を動かしながら操作を行うことで、紹介されているプロセスの多くを自動化する方法も同時に学習します。

基本となるテーマは、現代的なサイバー攻撃手法を駆使して、Continuous Monitoring（継続的な監視）と解析テクニックを能動的に行うことです。これを実現するため、予めキャプチャーされた攻撃サンプルデータを、ラボで再現することで実際の攻撃を体験することが可能になっているのです。

本コースを受講することで受講生は以下の準備が整うことになります。

商用とオープンソースSIEM（SOF-ELK）の違いと優位性の提示が可能になります。
受講生はSIEMの使用方法、アーキテクチャー、最適な運用方法を学習します。
ログの中からどのようなデータを収集すべきかを学習します。
複数のログ収集方法を用いたスケーラブルなログソリューションの展開が可能になります。
通常のログを戦略的なデータに変換させます。
複数の異種データから取得する膨大な量のログを適切に捌く方法を学習します。
ログ収集の最適な収集方法の理解。
様々なSIEMソリューションログの深堀テクニックを学習します。
グラフやテーブルを用いた異常状況を検知します。
アナリストが戦略的に解析を行うための複数データによる解析ダッシュボードの構築を学習します。
大量のデータセットの中から頻度分析を行い、攻撃者が取ったテクニックを学ぶことで、彼らの攻撃に対抗することに役だてます。
ユーザやデバイスによるネットワーク活動状況のベースライン構築を学習します。
ウィンドウズシステムの変更状況を検知するためのベースライン構築を学習します。
ロングテール分析による異常行動検知などをはじめとする複数の解析の方法を学習します。
複数データソースの関連性や統合機能を用いてより完全な状況把握を行います。
標準的なアラートに対してその前後関係を提供することでその理解と優先順位の把握を行います。
ログデータを活用することでセキュリティ管理の有効性を確立します。
初期侵入検知を実現するための仮想的なトラップの実装を学習します。
コンテナ監視とログ収集の方法を理解します。
クラウド環境のベースラインと不正な変更の検出を学習します。
SIEMに対してのカスタムスクリプトの記述と統合について学習します。

本講座受講にあたっての前提

基本的なTCP/IP知識
ログ取得方法の知識
基本的なOSの知識
ネットワークとホスト上のログシステムに対する中級程度の理解
メッセージキューに対する知識
CLIオペレーションに慣れていること
商用、オープンソースSIEMに関する知識（オプション）

受講対象者

セキュリティアナリスト
セキュリティアーキテクト
検知技術者
上級セキュリティエンジニア
テクニカルセキュリティマネージャ
SOCアナリスト
SOCエンジニア
SOCマネージャ
CNDアナリスト
セキュリティ監視
システム管理者
サイバー脅威捜査
デジタルフォレンジック/インシデントレスポンス(DFIR)アナリスト
セキュリティ監視やネットワーク実装に関わる個人
ハントチームに関わる個人

※SEC555は、GIAC（GCDA）認定試験対象コースです。

GCDAは、最新のネットワークおよびエンドポイントデータソースを収集、分析、戦術的に使用し、悪意あるまたは不正な活動を検出する知識を証明する資格です。

SIEMアーキテクチャとSOF-ELK
サービスプロファイリング、高度なエンドポイント分析、ベースライン設定、ユーザーの動向監視
戦術的なSIEMの検出と事後分析

講義内容の一例

ハンズオン

SEC555は、出来る限り多くのハンズオンを通じて知識を伝達し、スキル習得を後押しします。これは従来形の講義形態を超え、テクニカルな知識の探求に役立つよう幅広いラボを準備しています。

ログ収集ラボ
ログ補強ラボ
Windowsログ分析ラボ
システムとネットワークの基礎に関するラボ
NetWarsベースのゲーム使用した、ブートキャンプを毎日実施。
NetWarsベースの「Defend the Flag（DTF）」は、チーム対抗のゲームで、ログの取り込み、解析、処理、SIEMを活用した指標や脅威の探索などの能力を発揮し、受講者の理解度をテストするよう設計されています。

DAY1
DAY2
DAY3
DAY4
DAY5
DAY6

SIEMのアーキテクチャー

ロギングと分析は、サイバーネットワークの防御において重要な要素であり、敵対的な活動をリアクティブにもプロアクティブにも検知することができます。適切に活用すれば、俊敏な検知のためのバックボーンとなり、環境全体を把握することができます。ロギングや分析の製品や技術は古くからありますが、急速に機能が増えてきています。このセクションでは、無料のロギング・分析ツールを紹介し、従来のログを理解し、補強するための技術に焦点を当てます。また、何十億ものログを扱うビッグデータ問題への対処法や、フリーのツールの進化が、市販のソリューションに勝るとも劣らないものになりつつあることについても取り上げます。

初日は、すべての受講生がSIEMのコンセプトを理解し、残りのクラスを乗り切るための知識レベルを身につけることを目的としています。また、SIEMのベスト・プラクティスをカバーするように設計されています。SOF-ELK（Phil Hagen氏とJustin Henderson氏が共同で管理するVM）のElasticsearch、Logstash、Kibanaを説明し、ラボにおいてログデータの取り込み、操作、レポート作成を快適に行えるようにします。

トピック

最先端のSOC/SIEM
- 市場統計
- 現場で直面する問題
ログモニタリング
- 資産
  - Windows/Linux
  - ネットワークデバイス
  - セキュリティデバイス
- データ収集戦略
- 事前計画
ログ構造
- 不完全なログ
- ログの収集と正規化
- ログ保存戦略
- 相関関係と前後関係
- レポーティングと分析
- 警告
SIEMプラットフォーム
- 商用ソリューション
- 内製（独自開発）ソリューション
SIEMのプランニング
- データ収集管理
- 収集対象
- ミッション
SIEMの構造
データ収集テクニックとノード
- 値の受領と操作
- 検知するためのログの拡大
データキューとレジリエンス性
ストレージとスピード
分析レポート
- 可視化
- 検出ダッシュボード

SIEMを活用したサービスのプロファイリング

大多数のネットワーク通信は、一般的なネットワークプロトコル上で発生していますが、半面、組織ではあまりにも一般的なため圧倒的な分量になるプロトコルのログを使用したり、収集したりすることは一般的ではありません。しかしこれらの情報ソースは、現代の攻撃の糸口を発見するための重要な情報源であることは認識する必要があります。

この章では、どのように膨大な分量のログを収集して取り扱うかを解説していきます。ひとつの例としてDNSサーバなどのサービスログからこれらのログを収集するための方法に関して解説すると共に、ネットワークそのものから受動的に同じデータを採取する方法についても解説します。収集したデータを増大し、意味のあるものにするためのテクニックについてもデモでご覧頂きます。

最終的には分析の原点である、まるで砂漠の中で落し物を探すような困難を打開するようなときに役立つ原理を解説します。たとえ膨大な分量のログを検索することに問題を抱えていても、分析原理により私たちが探している意味のある対象のみを表面化させることが可能になります。そのためにはダッシュボードを活用することで、意味のあるログを素早く見つけるようにするだけではなく、次に取るべきアクションと共に分析結果を導き出せるようにしておかなければなりません。

トピック

検知方法とログ分析の関連性
- 攻撃パターン
- 攻撃行動
- 異常点
一般的なアプリケーションログの分析は非常に多くのデータを生成する
- DNS
  - アクセスがあった新ドメインの検出
  - ドメイン取得や更新時期と言った追加情報の収集
  - ランダムに命名されたドメインの検出
  - ドメインシャドウイングの探索
  - recon（偵察）活動の特定
  - DNS C2（Command & Control）チャンネルの発見
- HTTP
  - ビックデータを使った攻撃の検出
  - Bot通信の特定
  - ユーザが使用するはずのないリクエストの検出
    - 不要な値のフィルタリング方法
  - ランダム性
  - 自動化ツールとユーザによる活動の相違点の特定
  - 承認、未承認のwebクライアント特定フィルタ
  - HTTP C2チャンネルの検出
- HTTPS
  - 大規模分析ための更新情報
  - 証明書フィールドの分析による攻撃ベクターの特定
  - 証明書の正当性確認
  - HTTPで使用可能なテクニックの活用
  - HTTPS C2チャンネルの発見
- SMTP
  - 未認証電子メールの経路特定
  - 侵入されたメールサーバの検出
  - フィッシングドメインのファジーマッチング探知法
  - 持出しデータの検知
ネットワークログへの脅威情報の適用
ダッシュボードと可視化
- ネットワーク情報の相関分析
- 頻度分析テーブルの構築
- ネットワークの基本指針策定

応用的なエンドポイント分析

エンドポイントログの価値は、非常に有益な情報を提供し、攻撃検知を行う上で何物にも変えがたいほど重要なものです。しかし、たった1台のデスクトップ端末でさえ日に数万から数十万イベントが発生するものです。これを実際の環境に当てはめた場合、組織がログ分析の業務負荷に圧倒されてしまうのもの無理はないはずです。

この章では、システムログを収集するうえでの方法と、その理由について解説します。数々のログ収集方法とツールは、ハンズオンによって経験値を上げることに役立つと共に、サーバやワークステーションから無限に生成されるデータを、ハンドリングとフィルタリングによってシンプルな形にすることができるようになります。

現代の攻撃ベクターを知ることは非常に重要なため、ワークステーションにおけるログ施策については特に深く解説していきます。何故なら、現代の攻撃はワークステーションから始まり、そこから拡散されていくと言われているからです。

トピック

エンドポイントログ
- 値の理解
- 収集方法
  - エージェント
  - エージェントレス
  - スクリプト
- ロギングの追加
  - EMET
  - Sysmon
  - グループポリシー
- Windowsフィルタリングとチューニング
- 攻撃者パターン別クリティカル事象の分析
  - エクスプロイト予兆の発見
  - 内部偵察の予兆の発見
  - 持続フェーズの発見
  - 権限エスカレーション
  - 足がかりの確立
  - トラックのクリーンアップ
- ホストベースファイアウォールのログ
  - 内部ピボッティングの検知
  - 未認証実行ファイルの特定
  - スキャン活動の閲覧
- 資格盗難と悪用
  - 複数回の失敗ログイン
  - 未認証アカウントの使用
- PowerShellのモニタリング
  - PowerShellロギングの設定
  - Identify obfuscation
  - 現代的攻撃の特定
- コンテナ
  - ロギングの方法
  - モニタリング

基本動作とユーザによる活動の監視

己を知ることが時として防御戦略の最大の鍵になりますが、これを達成するのは容易なことではありません。資産を棚卸し、組織が所有するものとそうでないものを台帳として保持することなどは困難な事柄の代表です。タスク自体は簡単ですが、日々発展するネットワーク環境に追随する形で台帳の保守を行うことは非常に難しいことになっています。

この章では、自動的に資産台帳とそれらの設定の整備、またそれらの資産が承認か未承認かを区別する方法およびテクニックについて説明します。実態に極めて近い忠実度のデータを提供するポイントについて解説するとともに、複数のデータソースから相関性を維持しつつ統合するテクニックを用いることで、最終的にマスターとなる棚卸し台帳の作成を行います。

適用するネットワークと、システムの基本テクニックに関するハンズオン経験を積むことは、もうひとつの己を知る方法です。ネットワーク通信の監視を行うことで、例えばC2ビーコンやユーザによる異常な振る舞いを特定することが可能になります。

最終的には、膨大な分量のエンドポイントデータを取捨選択をするために、大容量データの分析テクニックを適用していきます。このテクニックを活用することで、持続フェーズで使われるメカニズムやデュアルホームデバイスなどの検出に役立てることができるでしょう。

トピック

承認・未承認資産の特定
- アクティブ資産の発見
  - スキャナー
  - ネットワークアクセスコントロール
- パッシブ資産の発見
  - DHCP
  - p0fやpradsなどのネットワークリスナー
  - NetFlow
  - スイッチのCAMテーブル
- マスター台帳への資産情報の適用
- 付随情報の追加
  - 脆弱性情報
  - 承認・未承認デバイス
承認・未承認ソフトウェアの特定
- 情報元の収集
  - 資産管理システム
  - パッチ管理
  - 許可リスト（ホワイトリスト）ソリューション
  - プロセス監視
- 未承認ソフトウェアの発見
基本データ
- Netflowやファイアウォールからのネットワークデータ
  - アウトバウンドフローを活用した未承認アクセスや資産の発見
  - 想定されるインバウンド・アウトバウンドプロトコルの比較
  - 持続フェーズ状態やビーコンの発見
  - 位置情報とリバースDNS lookupの活用
  - デバイス間連携の確立
  - ラテラル移動の特定
  - アウトバウンド通信の閾値設定
- パターン別ログオン状況の監視
  - 時間ベース
  - 同時ログオン
    - ユーザ毎のログオン
    - アクセスデバイス毎のログオン
    - 複数の位置情報
- エンドポイント基本監視
  - 基本的なデータ収集設定
  - 大規模な持続性監視
  - 異常ユーザアカウントの検知
  - デュアルホームデバイスの発見
- クラウドのベースライン化（講義ではAmazon AWSを使用)

戦術的なSIEM利用による検出と事後分析

ネットワーク上には、複数のセキュリティデバイスが存在していますが、それらを個別に設置しているケースがよく見られます。アナリストは、専門分野毎に分割される傾向にあり、IDSの専門家はIDSを得意とするように特定の分野にフォーカスしています。しかし、単一のセキュリティデバイスからのアラートのみでは、事象の詳細が分かりにくく、似通った情報により真実が見えにくくなるケースが多くあるのです。

この章では、複数のセキュリティログを組合わせることで実現する統合分析に焦点を置き、アナリストにとってより有益な情報を提供するために、複数ソースを組合わせる方法を解説していきます。また、分析の結果と併せて資産情報も提供しようとした場合に、アナリストの分析時間を優先することが、組織にとってどれだけ貢献できるのかについても解説します。

セキュリティアラートの最適化の方法を学んだ後は、仮想的な罠を導入してログを取得する新しい方法の習得へと進んでいきます。当然のことですが、攻撃者によるネットワークへの侵入を防御できるケースもありますが、残念ながらそれは永続的ではなく、いずれ侵入を許してしまいます。また、侵入そのものはその後に起きる事象の始まりにしか過ぎません。敵はゴールに近づくために、システムとネットワークをくまなく徘徊します。この習性を逆手に取り、対策としてログ収集型のtripwire（仕掛け）を導入することで、素早く攻撃者や攻撃の検知と対応が可能になるのです。

トピック

NIDSとHIDSアラートの統合
エンドポイントセキュリティログの分析
- 代替分析法
- より良いレポート促進のためのタグ付け設定
増大する侵入検知アラート
- CVE、OSVDBなどの抽出による前後関係の把握
- 位置情報といったルール情報の取り込み
脆弱性情報の分析
- 脆弱性報告
- CVE、OSVDBやその他のIDとIDSアラートの相関分析
- 脆弱性の内容に基づいたIDSアラートの優先順位付け
マルウェアサンドボックスのログを他のシステムと相関させ、企業全体での被害を特定
ファイアウォールの監視
- スキャン活動の中で拒否されたインバウンド通信特定
- アラート発呼時の自動応答の適用
- 予期せぬアウトバウンド通信の特定
- 予期せぬ変更を特定するためのAllow/Deny基本設定
- 拒否した通信におけるノイズ排除フィルタテクニックの適用
SIEM tripwire
- 侵入時における早期ログアラート生成のためのシステム設定
  - ファイルおよびフォルダへのスキャン行動の特定
  - ユーザ毎のトークン盗難の特定
  - 統合ロギングが可能な仮想ハニーポットの運用
  - フォーンホームの追跡
事後分析
- ネットワークトラフィックの再分析
  - 悪意ドメインとIPの特定
  - ビーコン行動の探査
- 不可解な定期的行動の特定
- 脅威情報を活用したuser-agentなどのフィールドの再調査
- ハッシュを活用した壊れたファイルの再評価

まとめ: デザイン、検知、防御

コースの仕上げはチームに分かれてデザイン、検知、防御のレベルを競うCTF競技です。最終日はこれまでに習得した原理原則を存分に発揮して、さらなる理解を得るためにNetWarsを利用したハンズオンとしています。

1週間を通して学習した最新のサイバー防衛技術を確実に習得するために設計された、複数の課題に挑戦します。ロギングアーキテクチャの構築、ログの増強、ネットワークログの分析、システムログの分析、攻撃を発見するためのダッシュボードの開発など、このチャレンジングな演習は、楽しく、実践的で、チームで取り組むべき課題の中で重要な原則を強化することができるでしょう。

防御CTF：ハンズオン

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。