NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
FORENSICS 498
Digital Acquisition and Rapid Triage
Digital Forensics and Incident Response
English- 日程
2024年2月26日(月)~3月2日(土)
- 期間
- 6日間
- 講義時間
1日目: 9:00-17:30
2日目~6日目: 9:30-17:30
- 受講スタイル
- Live Online
- 会場
◆LiveOnline形式
オンライン
- GIAC認定資格
- GBFA
- 講師
- 言語
- 英語 英語教材・同時通訳
- 定員
- 40名
- CPEポイント
- 36 Points
- 受講料
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000 円(税込み 1,485,000 円)
- 申込締切日
- 早期割引価格:2024年2月2日(金)
通常価格:2024年2月16日(金)
- オプション
- GIAC試験 160,000円(税込み 176,000円)
- OnDemand 160,000円(税込み 176,000円)
- NetWars Continuous 270,000円(税込み 297,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
現在お申し込みを受け付けておりません
受講に必要なPC環境
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
FOR498 PC設定詳細
重要!次の手順に従って設定されたPCを持参してください。
このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定されたすべての要件を満たすシステムでご出席ください。
授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSは、あなたのシステムやデータについて責任を負いません。
システムハードウェア要件
- CPU 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサが必須。
- 重要: M1/M2プロセッサーを使用するAppleシステムは、必要な仮想化機能を実行できないため、このコースには使用できません。
- 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
- 8GB以上のRAMが必要です。
- 200GB以上の空き容量が必要です。
- 16GB以上のUSBドライブを追加でご用意ください。
- 使用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンにはType-CからType-Aへの変換アダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
- ワイヤレスネットワーク(802.11規格)が必要です。教室での有線インターネットアクセスはありません。
ホストの必須構成とソフトウェア要件
- ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
- 正しいドライバとパッチがインストールされていることを確認するため、授業前にホストOSを完全にアップデートしてください。
- Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
- ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
- ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
- アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
- Microsoft Office (バージョンは問いません) または OpenOffice がホストにインストールされていること。なお、Officeの試用版ソフトウェアはオンラインでダウンロードできます(30日間無料)。
- VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、またはVMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
- Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
- 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。
追加で必要なもの
- 追加のハードディスクドライブ(SSDは不可)を持参してください。このドライブと同様の2.5インチドライブでなければなりませんが、サイズや回転速度は問いません。外付けUSBハードディスクドライブは持参しないでください。
- アップル社製iPhoneまたはアンドロイド携帯電話を持参してください。デバイスにフルアクセスできること。デバイスがモバイルデバイス管理(MDM)で管理されている場合は、演習を行うことができません。演習では、端末のセルラーアクセスを使用します。授業前にデバイスの最新のバックアップを取ることを強く推奨します。
LiveOnlineでのコースメディアの事前準備、テキストについて
コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業の前夜までダウンロードを始めないでください。
コース資料には「セットアップ手順」が含まれており、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順が詳しく説明されています。これらの手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
FOR498 コース概要
時間は刻一刻と迫っている。最も価値のある証拠を優先的に処理する必要があります。その方法をお教えしましょう。
FOR498 デジタル収集と迅速なトリアージは、次のようなことに役立ちます:
- データを効率的に取得する
- PC、Microsoft Surface、タブレットPC
- アップルデバイス、Mac、Macbook
- ランダムアクセスメモリ(RAM)
- スマートフォンおよびポータブル・モバイル・デバイス
- クラウドストレージおよびサービス
- ネットワーク・ストレージ・リポジトリ
- 仮想マシン環境
- 90分以内に実用的なインテリジェンスを生成
どのような調査でも、最初のステップは証拠の収集です。デジタルフォレンジック調査も同じです。この種の調査で使用される証拠はデータであり、このデータは様々な形式や場所に存在します。まず、必要と思われるデータを特定し、そのデータがどこに存在するかを決定し、最後にそのデータを収集するための計画と手順を策定できなければなりません。
デジタル・フォレンジックの取得では、データを適切に収集するチャンスは通常一度しかありません。取得の管理を誤ると、調査に損害を与えるだけでなく、より重要なこととして、証拠として使用できたデータそのものを破壊してしまう危険性があります。
今日、市場にはさまざまな記憶媒体が出回っており、すべての媒体について標準化された方法論など、とうてい通用しない。デジタル証拠の収集において多くのミスが犯されており、これにより有罪の者が釈放され、さらに重要なこととして、無実の者が投獄される可能性がある。何百万ドル、何千万ドルという金額の処分は、あなたが適切に収集し、解釈する任務を負ったビットとバイトの中にある可能性がある。
審査官は、もはや1台のハードドライブの「デッドボックス」画像処理に頼ることはできない。今日のサイバー社会では、多くの人がデスクトップ、ラップトップ、タブレット、携帯電話を1日の中で使い分けています。この問題をさらに深刻にしているのが、クラウド・ストレージやプロバイダーの利用拡大であり、これらすべての領域からデータを適切に収集することは、かなりの負担になりかねない。
この綿密なデジタル収集およびデータ処理コースは、第一応答者や捜査官を問わず、幅広いストレージデバイスやリポジトリからのデータに適切に対応し、識別し、収集し、保存するために必要な高度なスキルを提供し、証拠の完全性を保証します。常に更新されるFOR498は、実際のケースに対処する際に捜査官が必要とする課題や技術に関する幅広い知識と理解に対する今日のニーズに対応しています。
コース全体を通して数多くの実習を行うことで、第一応答者、捜査官、デジタル・フォレンジック・チームは、ハードドライブ、メモリースティック、携帯電話、ネットワーク・ストレージ・エリア、およびその間にあるあらゆるものからデジタル取得を行う際に必要となる実践的な経験を積むことができます。
デジタル・フォレンジックへの対応や調査の際、調査が始まる前に終わってしまわないよう、組織は可能な限り熟練した対応者を必要とします。FOR498: デジタルアクイジションとラピッドトリアージは、データがどこに隠れていようが、どこに存在しようが、対応し、識別し、収集し、保存するために、あなたとあなたのチームを訓練します。
本コースで習得できること
- データがどこに保管されているかに関係なく、効果的に場所を特定し、識別し、収集するために必要なツール、テクニック、手順を学び、習得する。
- 証拠としての完全性を維持するために、現場を適切に取り扱い、処理する。
- 回転メディアとソリッドステート・ストレージの両方を含む、静止状態のストレージからデータを収集する。
- 捜査データが存在する可能性のある多数の場所を特定する。
- 証拠品の押収から実用的なインテリジェンスまで、90分以内で迅速なトリアージを行う
- グーグル、フェイスブック、マイクロソフトなどのオンラインエンティティとのコミュニケーションに必要な文書の作成を支援する。
- JBOD、RAIDストレージ、NASデバイス、その他の大規模なネットワーク・アドレサブル・ストレージなど、大容量ストレージ技術の概念と使用法を理解する。
- SMBを使用してアクセスされる大企業環境内のユーザーデータを特定し、収集する。
- コンピュータ・システムのRAMなどの揮発性データの収集
- 携帯電話やその他のポータブルデバイス上のデジタル証拠を復元し、適切に保存する。
- Microsoft Surface/Surface Proなど、ハードドライブの取り外しが不可能なデバイス上のデータの適切な収集と保存に対応
- MacBook、MacBook Air、MacBook Proなど、ハードドライブの取り外しが不可能なApple製デバイスの適切なデータ収集と保存に対応
- Exchangeサーバーから電子メールを適切に収集し、効果的なターゲットとする。
- SharePointリポジトリからの適切なデータ収集
- Gmail、Hotmail、Yahoo Mailアカウントなどのオンラインメールストアへのアクセスと取得
本コースのトピック
- SANS Windows 10環境における幅広いオープンソースツールの高度な利用、および適切なデータ取得と証拠処理を実行するためのその他の外部ツールの利用。
- フォレンジック・イメージの完成を待つことなく、迅速に調査を進めるための迅速なインシデント対応による成果物の収集
- リモートおよびエンタープライズでのデジタル証拠収集
- Windows Liveアーティファクト収集
- メモリ収集
- ボリュームシャドウコピーの取得
- RAIDやJBODなどの高度なストレージコンテナの理解
- ファイルシステムとそのデータ保持方法の検討
- 適切な証拠収集と現場管理の高度な理解
- データ・ストレージ・デバイスと場所の特定
- 膨大な数のインターフェース・スタイルとアダプターの使い方を正しく識別する
- 非破壊的な方法でストレージメディアにアクセスする方法
- GmailやOutlook.comなどのオンライン電子メールを含む、クラウドベースのストレージコンテナへのアクセスと収集
- アップル・デバイスの取得に特化した指導
- ポータブル・デバイスやセルラー・デバイス、またGPSユニットやモノのインターネット・デバイスなどの非伝統的なデバイスからデータにアクセスし、取得するための方法論
本コースでお渡しするもの
- Cellebrite Physical Analyzerの90日間ライセンス
- SANS Windows SIFTワークステーション
- このコースでは、SANS Windows DFIR Workstationを多用し、緊急対応要員やフォレンジックアナリストを対象に、最も一刻を争うケースに対応し、入手し、調査する方法を学びます。
- DFIR Workstationには、何百ものフリーおよびオープンソースのツールが含まれており、最新のフォレンジック市販ツールと容易にマッチします。
- ハンズオン授業の演習の多くで仮想マシンが使用されます。
- Windows 10
- フォレンジックに取り組む準備が整ったVMWareアプライアンス
- F-Responseコンサルタントコバート
- ネットワーク経由でリモートシステムおよびリモートコンピュータの物理メモリにアクセス可能
- どのようなフォレンジック・ツールもリモートで使用できるようになります。
- ネットワークおよびクラウドデータの取得と可視化に最適
- リモートシステムにエージェントを展開可能
- SIFT Workstationと互換性あり
- ベンダーに依存しないため、どのようなツールでも使用可能
- 6ヶ月のライセンスにより、職場や自宅の環境で継続して使用し、ベンチマークを行うことができます。
- 90日間完全に使用可能なライセンス
- Magnet Forensics Axiom
- Arsenalイメージマウンター
- ドメインツール
- 120日間フル稼働ライセンス
- デジタルダウンロードパッケージ
- ケースイメージ、メモリキャプチャ、DFIRワークステーション、ツール、ドキュメントを含むダウンロードパッケージ
- SANS DFIR電子演習ワークブック
- バトルフィールド・フォレンジックをマスターするための詳細なステップ・バイ・ステップの手順と例が記載された電子エクササイズブック
- UltraDockハードウェア書き込みブロック装置
- 2.5インチベアハードドライブ用SATA-USB 3アダプタ
- 注:米国プラグが付属しています。ライブオンラインまたはオンデマンドコースを受講する留学生は、アダプタを入手してください。
- 現場でのツール使用に役立つSANS DFIRチートシート
受講対象者
- 連邦捜査官や法執行機関の職員で、適切な取得方法を習得し、すべてのデータが適切かつ防御可能な方法で収集されていることを確認したい方。
- デジタル機器の押収が行われる可能性のある現場に立ち会う第一応答者。この時点で、適切な現場管理、識別、保存、および取得を行うことが極めて重要である。
- 今日のデジタルストレージの世界におけるデータの保存と取得について理解を深めたいデジタルフォレンジックアナリスト。
- Windowsのデジタル・フォレンジック調査を開始するために必要な取得とトリアージのスキルを学びたい情報セキュリティ専門家。
- インシデント対応チームのメンバーで、Windowsデータ侵害や侵入のケースを解決するために、デジタルフォレンジック用に指示されたコンピュータを保存する必要がある方。
- 個人によって使用されたシステムのドキュメントとメディア・エクスプロイテーション(DOMEX)操作において、システムを収集し保存する必要があるメディア・エクスプロイテーション・アナリスト。
- システムの迅速な収集とトリアージを任務とする国防総省および情報機関の専門家。
- システムの適切な保全についての理解に関心があり、情報システム、情報セキュリティ、コンピュータのバックグラウンドがある人。
※FOR498は、GIAC(GBFA)認定試験対象コースです。
GIAC Battlefield Forensics and Acquisition
GIAC Battlefield Forensics and Acquisition (GBFA)認定は、個人が多くの形式のデータストレージの適切な収集、取得、および迅速なトリアージ分析について訓練され、資格を持っていることを証明します。
- 幅広いデバイスからの効率的なデータ取得
- 実用的なインテリジェンスの迅速な作成
- 手動によるデータの識別と取得
認定試験の詳細はこちら
講義内容の一例
コース開発者より
「FBIで特別捜査官として勤務していた頃、デジタル・フォレンジック・コミュニティは、大量のデータを効率的な方法で調べ、迅速に答えを導き出すためのより良い方法を必要としていることが明らかになりました。ストレージの容量が増えるにつれ、従来の方法では収集や分析の観点から時間がかかるようになりました。このため、私は法執行機関(およびそれ以外)のコミュニティで使用するトリアージ・ソフトウェアを作り始めた。この問題は、私がFBIを辞めてからも変わっておらず、むしろ増え続けている。そのため、私はこの問題に対して新たなアプローチを取ることにしたのだが、今回はデジタル・フォレンジック・コミュニティーの全員に配布できるような方法で行うことにした。その結果がKAPEであり、インシデント対応者の判断で迅速に収集・分析できるようにした。もちろん、データを処理することは方程式の一部に過ぎないので、このコースでは、取得について、つまり、遭遇したデバイスからデジタルデータを取得する方法について、かなりの時間を費やしています。特定の機器や状況に対する具体的なテクニックについて話すだけでなく、取り上げるトピックの多くについて、新しい機器に遭遇したときに成功するためのフレームワークを提供します。このコースでは、「答えのあるデータを得る」「データから答えを抽出する」という2つの重要な分野に焦点を当てます。クラスでお会いできるのを楽しみにしています。」
「私のデジタル・フォレンジックの経験は1990年代半ばに始まりました。当時は、16進エディターが検査官の最も重要なツールでした。フォレンジックを効果的に行うには、最も基本的なレベルでデータを理解する必要がありました。今日に至っては、フォレンジック検査者が必要とするほとんどのタスクを実行するツールが無数にある。この副産物として、検査者は利用可能なツールの量だけでなく、レビューが必要なデータの量に圧倒される可能性があります。私たちは、膨大な量の不要なノイズを排除し、ハードディスク・ドライブ上の最も重要な情報に焦点を絞ったアプローチが業界に必要であることを認識しました。また、審査官は、削除されたデータと、これまで見逃してきた最も重要な情報のいくつかを抽出する方法について、よりよく理解する必要があることも認識しました。最後に、私たちは近年、マシンから取り外すことができないストレージを含むデバイスが数多く使用されていることに注目しています。これにライブ・レスポンスや静止状態で暗号化されたデータが加わると、ある種のアプローチを変えなければならないことを認識しなければなりません。こうしてFOR498が誕生しました。私たちがこのクラスを書くのを楽しんだのと同じように、みなさんがこのクラスを受けるのを楽しんでくれることを願っています。」
「FOR498は素晴らしいコースです!ケビン・リパは内容を面白く伝える素晴らしい仕事をしてくれました。また、ケビン・リパは、内容を面白く伝える素晴らしい仕事をしてくれました。彼の個人的な話や例は、コースを魅力的で現実に根ざしたものにしてくれました。」
- Christopher Coy, Microsoft
- DAY1
- DAY2
- DAY3
- DAY4
- DAY5
- DAY6
DAY1 : Scene Prep, Management, and Storage Interfaces
概要
パン屋なら誰でも、間違った材料で焼けば失敗することを知っている。デジタル証拠収集も同様です。
捜査官は、多くの異なる主体が収集プロセスを批判的に精査するような高ストレス環境で対応することが多いです。また、現場を管理し、必要なデータをすべて特定し、適切な方法でデータを収集し、その完全性を維持していることを確信しなければなりません。
頭痛の種になりかねない最も一般的なシナリオのひとつは、証拠ファイル(通常はE01)を受け取り、即座に答えを提供することを求められることです。一般的なアプローチは、イメージをマウントし、それに対してカービングやその他のツールを実行し始めることです。これらの自動化タスクは、それだけで何時間も(時には何日も)かかることがあります!
演習
- DFIRワークステーションのインストール
- E01をブート可能なVMに変換する
- インターフェースの識別とBIOS/UEFI
トピックス
SIFTの紹介
- Widows SIFTワークステーションの紹介
- Windows SIFTワークステーションのインストール
デジタル・フォレンジック取得入門
- 取り込み/収集に関する強い理解の必要性
- この知識の欠如がどのようにケースにダメージを与えるかを理解する
- メモリを取得しない
- BIOS情報をスキップする
- 暗号化が存在するかどうかの判断
- ISO 27037:2012 - デジタル証拠の識別、収集、取得、保存のためのガイドライン
- 今いる場所から致命的なフォレンジケーターになるには - 基礎知識
- 専門化か一般化か?すべてに精通することはできない
- 専門性を深めるための選択肢
データを理解する
- 最新の取得要件に共通するデータはどこにあるのか?
- 電話
- ネットワーク
- 従来型
- IoT
- リムーバブルデバイス
- 従来とは異なるストレージ
- トリアージや迅速な調査に必要な重要データとは?
- コミュニケーションの証拠
- チャット、電子メール、電話、SMS
- ブラウザ履歴の証拠
- 個人がウェブアプリを通じてどこで調べたり、読んだり、アクセスしたりしていたか
- 地理的位置の証拠
- デバイスが最近どこにあったか?
- GPS、ジオタグ情報
- 写真 - EXIF内のGPS座標など
- 地図
- その他のGEOタグの成果物
- 物理的なデバイス
- 回転メディア
- フラッシュ・ストレージ
- 物理ディスクからデータストレージへ
- ファイルシステムの概要
- 目的:データの整理と検索
- さまざまなファイルシステムはどのようにこれを実現しているのか?
- ntfs、fat、ext、hfs、apfs
- 特殊なファイル・システム
- ZFS
- EMC
- ファイルシステムのメタデータ
- タイムスタンプ
- データの保存場所
- セキュリティ情報
- 証拠ファイルフォーマット
- デジタル・フォレンジックでよく見られるフォーマット
- .E01
- DD/RAW
- SMART
- .AD1/L01
- デジタル・フォレンジックでよく見られるフォーマット
- 他の誰かが証拠ファイルを作成した場合のアプローチの決定
現場管理と証拠取得
- ゴーバッグ
- 現場の安全
- 最小限の勧告とLEの対応
- 現場の文書化
- スケッチ
- 写真
- ビデオ
- 現場の記録
- 証拠の特定と収集
- 証拠の押収
- 保管の連鎖
- 在庫管理
- 画像化前の記憶装置の文書化
- コンピュータ内部の物理的ストレージデバイス
- エンクロージャーと実際のストレージデバイスの違い
- 証拠の保管と管理
- 証拠品のロックアップ
- 長期保管に関する考慮事項
デバイスとインターフェースの識別
- ストレージ・デバイス・インターフェースの認識
- IDE、SATA、SAS、ファイバーチャネル、SCSI、USB、Firewire
- インターフェイスを変換するアダプタの使用
- BIOS/UEFIへのアクセス
DAY2 : Portable Devices and Acquisition Processes
概要
データの押収や取得に2度目のチャンスはない。初回から確実に成功させましょう。
ポータブル・デバイスは、独自の課題をもたらします。これらのデバイスはコンピュータよりもユビキタスです。今日、携帯端末が含まれていないケースはめったにありません。残念ながら、セルラーOSには標準がない。ブランド内でも、データストレージが大きく異なることがあります。このコースでは、いくつかのデバイスと、それらを取得するためのツールを紹介します。
捜査官や第一応答者は、最新のツール、デジタル・コンテナ・アクセス技術、膨大な種類のデバイスやリポジトリを識別し、アクセスし、証拠を保全するための企業手法で武装しなければならなりません。また、企業内の何千ものシステムにわたって、識別と収集を拡張できなければなりません。エンタープライズおよびクラウドストレージの収集技術は、多くのデバイスに意図的または非意図的に広がっている活動を追跡するための要件となっています。このような多数のシステムに対応することは、標準的な「ハードディスクを抜き取る」フォレンジック検査方法では達成できません。そのようなアプローチは、ハードディスク全体をフォレンジック的に画像化するのに時間がかかるため、機会を失うことになります。さらに、捜査官は、可能な限り迅速かつ責任を持って、実用的なインテリジェンスを必要としています。このコースでは、現場への最初の到着から、静止状態のデータを理解し、収集を成功させるために必要なデバイス、インターフェイス、ツールを適切に識別するための基礎まで、証拠収集の基礎を学びます。
また、データについて最善の判断ができるように、アダプターや識別はもちろんのこと、無数の収集ハードウェアとソフトウェアについても探求します。
演習
- ポータブル機器の収集
- ポータブル・デバイスの分析
- ハードディスクの消去とフォーマット
- 書き込みブロック方法
- アナリスト・マシンの準備
- タイムライン・エクスプローラーの使用
トピックス
スマートフォンの取得
- 適切なデバイス操作テクニック
- 機内モード
- ネットワークの分離
- アクイジション・ツール
- セルブライト
- IEF/Axiom
- SIM カード取得
- データの取得方法とその理由
- 地域に関する懸念
スマートフォンの分析
- アップルiOS
- アップルiOSの基礎と「クイックウィン」データ
- iOSのバックアップ
- ローカルとクラウド
アンドロイド
- Androidの基本と "クイックウィン "データ
- Androidのバックアップ
- 一般的な分析テクニック
- アプリケーション(アプリ)
- メッセージング・サービス
- iMessage
- SMS/MMS
- Viber
- スナップチャット
- Eメール
- iOSと他のデバイスの比較
- メッセージング・サービス
買収ハードウェアとソフトウェア
- ライブ応答
- FTKイメージャー/X-Ways
- KAPE
- Fレスポンス
- デッドボックス ソフトウェア・イメージャーによる書き込みブロック
- ソフトウェアベースの書き込みブロック
- レジストリ・キー/バリュー・エントリ
- セーフブロック
- ハードウェアベースの書き込みブロック
- 物理イメージングデバイス(Ditto、Talonなど)
- UltraDock、Tableauなど
- 保存先メディアの準備
- デスティネーションメディアのフォーマット
- コピー先メディアのワイプ
- ソフトウェアベースの書き込みブロック
取得方法
- コンピュータの電源は切れていますか?
- 休止状態とスリープモード
- デバイスへのアクセス: ラップトップとデスクトップなど
- 改ざんの兆候を認識する
- データの保存方法に注意する
- JBOD対RAID対ネットワーク
- 取得検証
- ハッシュ化元とハッシュ化先
- 特殊なケース SSD
データの発見と操作
- WindowsとCLIの基本的なナビゲーションと使い方
- PowerShell対cmd対bash
- データレビューのテクニック
- タイムライン・エクスプローラー
- 基本的な成果物
- ユーザーコミュニケーションの証拠(電子メール、ソーシャルメディア、スカイプ/チャット)
- 地理的位置の証拠
- ウェブ閲覧履歴
DAY3 : Triage and Data Acquisition
概要
Quick Win Forensicsは、事件を前進させるために必要な1パーセントのデジタル証拠を見つけ、抽出し、処理することを優先します。
必要な証拠の99パーセントは、通常、取得したデータの1~2パーセントに存在することを考えると、今日のデジタル・フォレンジックの世界で、通常の手順に従っていかに多くの時間を無駄にすることができるかは、容易に理解できます。その代わりに、この1~2パーセントに焦点を当て、調査をより早く開始するために使用できる、非常に迅速なトリアージコレクションを実行しましょう!
あまりにも多くの場合、コンピュータは「オン」の状態で押収され、「それがいつものやり方だから」という理由ですぐに電源が落とされます。今日のコンピューターでは、これは何ギガバイトものデータを捨てている(実質的に破壊している)ことを意味します。コンピュータのRAMは、キー入力からネットワーク接続、実行中のサービス、そして極めて重要なパスワードや復号化キーに至るまで、データの宝庫です。ファイルレス・マルウェアの普及が著しくなっている現在、多くの場合、証拠が存在するのはメモリ上だけです。もう一つ見落とされがちなのが、フルディスクの暗号化です。このような場合、「ライブ」取得が唯一の希望となります。
演習
- 証拠のマウント
- トリアージ取得
- RAM取得と暗号化メディア
- ホスト・ベースのライブ取得
- デッドボックスの取得
トピックス
収集プロセスの開始
- ライブ対応(システムは稼働している)
- コンピュータの状態を記録する(画面と開いているアプリを撮影する)
- メモリのダンプ
- ケースに応じた収集のトリアージ
- 暗号化のチェック
- デッドボックス
- 記憶媒体へのアクセス
- 書き込みブロック
- データ取得
- 迅速なトリアージの概要
- フォレンジックイメージの作成
証拠のマウント
- イメージのマウント
- Arsenal Recon イメージマウンター
- FTKイメージャ
トリアージ取得
- トリアージ導入
- FTKイメージャーによるトリアージ取得
- オリジナル・メディアからのトリアージ取得とフォレンジック・イメージからのトリアージ取得の比較
メモリ取得と暗号化チェック
- 環境へのツールの導入
- 取得ツールの保存場所
- 画像の保存場所
- 最大IO/書き込み速度のための外付けSSD vs. USBメモリ
- デバイスの文書化
- コマンドラインツール
- Dumpit/Belkasoft RAMキャプチャ
- GUIツール
- FTKイメージャー
- 暗号化されたデバイスを扱う
- Bitlockerの紹介
ホストベースのライブ取得
- なぜライブ収集なのか?
- 何を収集するかの決定
- 論理的イメージングと物理的イメージング
- 重要な考慮事項
- コンピュータがスリープ状態にならないようにすること
- ノートパソコンの電源コードはあるか?
- 4つのW 誰が、何を、どこで、いつ
- セキュリティ・デバイス(ユビキー、ロック解除ドングルなど)
- 既知の良いことを文書化する(日時など)
- ネットワーク接続
- ユーザーのリモートアクセス/接続
デッドボックスの取得
- メディア・デバイスの取り外しと取り扱い
- ハードウェアベースのデバイス取得
- ソフトウェアベースのデバイス取得
- Surface Proなどの特殊なケース
DAY4 : Non-Traditional and Cloud Acquisition
概要
クラウドコンピューティングとストレージはますます一般的になりつつあります。これらの重要なデータを収集する方法をご存知でしょうか。
取得というと、通常はコンピュータの側面を開け、ハードディスクを取り出し、書き込みブロッカーや画像処理装置に接続し、作業を完了させることです。これは必ずしも不正確な評価にはならないですが、今日の多くのデータを取り巻くアクセスや取得に関する多くの疑問には対処できません。もしフルディスクイメージングが必要なら、ストレージ自体から直接行う方が簡単で早いのは確かです。しかし、iPad、Surface Book、その他ネジの代わりに接着剤で固定されている機器などはどうなるのでしょう。
ボリュームシャドウコピーには、捜査当局にとって非常に有用な履歴データが豊富に含まれています。Windowsオペレーティングシステムが関係する事件では、これらのシャドーコピーにアクセスしてデータを収集する方法を知ることが重要です。
迅速なトリアージは、デジタル・フォレンジックの最先端と考えられています。コンピュータのどこに最も価値のあるデータが存在するのか、そしてそれらを可能な限り速く入手する方法についての深い知識が必要である。効果的な致命的フォレンジケーターは、90分以内に実用的なインテリジェンスを抽出する必要がありますが、フォレンジック・イメージングが完了した時点から時計が始まるわけではありません。むしろ、デバイスを手にした瞬間から始まるのです。
このコースでは、非伝統的な保存領域にあるデータを特定し、アクセスする方法を学びます。今日の世界では、非常に多くのデータがオフサイトで保管されており、それらのデータにアクセスし、適切に取得する方法はほとんどありません。SharePoint、Exchange、Webメール、ネットワークロケーション、クラウドストレージ、ソーシャルメディアはもちろん、Dropbox、Google Drive、Internet of Thingsなど、これらのロケーションを特定します。また、RAIDストレージや、構成に関係なくこれらのデバイスを最適に収集する方法も含まれます。ほとんどのエンタープライズ調査の最前線に移動し、vSphereと仮想マシンのコレクションも調査します!
演習
- ボリュームシャドウコピーの取得
- 戦場フォレンジックのためのKAPEツールの使用
- ネットワークの収集
トピックス
ファイルシステム再訪
- FAT
- 拡張
- NTFS
- タイムスタンプメタデータ
- 代替データ・ストリーム
- ボリューム・シャドウ・コピー
- ボリューム・シャドウ・コピーの取得
KAPEによる迅速なトリアージ
- KAPEツールの紹介
- KAPEを使用した重要なアーティファクトの迅速な収集
- KAPEを使用したデータの処理
- KAPE出力の分析
マルチドライブストレージ
- マルチドライブアレイの画像化における課題
- RAID
- JBOD (ディスクの束)
- RAID取得に関する懸念
- 論理対物理
EMC/非従来フォーマット
- RAIDボリュームへのアクセスとイメージ化方法の選択
- 物理アクセス
- 外部ストレージへの直接イメージ化
- USB 2.0しか使用できない場合のネットワーク接続の使用
- 物理アクセス
リモート取得
- F-Responseの使用
- ネットワーク経由でストレージを取得
- ネットワーク経由でRAMを取得
- クラウドストレージの取得
- メール(IMAP)
- クラウドストレージ
- ドロップボックス
- OneDrive
- S3
- グーグル・テイクアウト
DAY5 : Apple Acquisition and Internet of Things
概要
アップルは、従来のデバイスとは全く異なるアプローチが必要である。
このコースでは、アップル社製デバイスからデータを取得するための基本を探ります。Windowsに比べ、Apple製品のデータ取得に関して利用できるツールやテクニックは非常に少ない。存在するツールは非常に高価で、無料のツールはほとんどありません。このコースでは、メモリーを取得し、CoreStorageテクノロジーとフルディスク暗号化を実行しているシステムを特定します。また、APFSがもたらす課題も見ていきます。アップルのシステムの多くはクローズド・システムであり、ハードディスク・ドライブはマザーボードに直接はんだ付けされているため、取り外すことができません。データストレージの独自性から、別の取得方法が要求されます。
このコースでは、iPad、MacBook、その他のHFS+デバイスにアクセスし、コマンドラインを使ってフォレンジック・イメージする方法と、最新のハードウェアで最新のmacOSバージョンもイメージできる、無料の取得用ブートディスクを作成する方法を学びます。
私たちの冷蔵庫、サーモスタット、防犯カメラ、ドアロックなどを制御している「モノのインターネット」も見逃せません。それは受動的に耳を傾け、実行するための指示を辛抱強く待っています。このセクションでは、これらのデバイスがどのように通信しているのか、そしてさらに重要なのは、誰がそれらを制御しているのかを学びます。
演習
- PCAPコレクション
- PCAPグラフィカルツール
- PCAPコマンドラインツール
トピックス
Apple MacOSデバイスの概要と取得
- Appleの暗号化
- ファイル保管庫
- コアストレージ
- APFSイメージング
- Fusionドライブ
- RAMの取得
- 最新のAppleセキュリティレイヤー
- T2セキュリティチップ
- ドライブのメタデータの収集
- ライブまたはシングル・ユーザ・モード
- Apple MacOSデバイスのストレージへのアクセス
- 知っておきたいAppleキーボードの組み合わせ
- シングル・ユーザー・モード
- 修復モード
- ターゲットディスクモード
- オプションモード
- ターゲットディスクモード
- コマンドラインイメージング
- macOS GUIブートデバイスの作成
- Macquisitionを使用したフォレンジックイメージの収集
モノのインターネット(IoT)
- ネットワーク上のデバイスの特定
- LAN上の内部デバイス
- ネットワーク・トラフィックを収集する方法
- ネットワークタップ
- ポート・ミラー
- ペンレジスタ
- ネットワーク管理者との調整の必要性
- ネットワークデータ収集のためのロジスティック/手順/法的考慮事項
- 潜在的な通信先
- クラウドでどの外部リソースにアクセスしているか?
- そのデータを保有する企業はどこか?
- 携帯機器とのモノのインターネット(IoT)通信の特定
- IoTアクティビティとそれを制御するデバイスの関連付け
- カメラ、ドア、その他のIoTにアクセスする携帯機器
- PCAPを理解して共謀者を見つける
- ネットワーク・トラフィックの収集
- IoT収集の考慮事項
DAY6 : Beyond the Forensic Tools: The Deeper Dive
概要
ツールは失敗し、テクニックは古くなる。
IP、電子メール、ウェブアドレスからアーティファクトを突き止めました。さて、どうしますか?このコースでは、適切な収集から法的文書化まで、帰属を決定するための最善の方法を学びます。
ファイルやストリームのカービングの有用性は、いくら強調してもしすぎることはありません。データの中には、ビューワが容易にアクセスできる定義されたファイル・スペースに存在しないものもあります。部分的に上書きされたデータから削除されたデータまで、従来のツールでは対応できない場合のテクニックを探ります。
データの切り分けは、ますます重要なスキルです。ファイルへの参照が破壊された後、どのようにしてデータを復元できるのでしょうか?ファイル・カービング・ツールはこれを支援しますが、検査者はツールの限界を理解する必要があります。元のファイルの適切な断片がなければ、カービングは役に立ちません。
演習
- オンライン帰属
- データとストリームの切り分け
- データの再構築
トピックス
オンライン資産所有者の特定
- ホスト名やIPから法的手続きを受けられる人物になる方法
- ドメインツール
- 検索.org
- パッシブDNSの考察
- その後のデータ損失に対する保証
- 保存レター
- データ保持ポリシー
- 考慮すべき落とし穴
- 法的手続きのソース: 会社は請求者の権限を認めるか?
- 法的手続きの国内化
- 州対州、国対国
- 民事対刑事
ファイルとストリームの復元
- データストリーム
- チャット・セッション
- IEF/Axiom
- 削除されたデータの復元
- Photorecによる切り分け
- ExifToolによるメタデータの抽出
- ファイルとストリームのカービング
- カービングツールの制限と機能を理解する
高度なデータの切り分けと再構築
- 手動解析テクニックを使用して、通常は復元できないデータを見つけ、復元する
- ファイル署名、ヘッダー、フッターの理解
- MS Office ファイル形式
- OLECF
- OpenXML
- 手動によるデータの切り分け
- データの再構築
- 破損したファイルや部分的に上書きされたファイルの修復
ここからどこへ行くのか
- 現在地から致命的なフォレンジケーターになるには - 詳細
- 専門化するか一般化するか:すべてに精通することはできない
