下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。
Network Monitoring and Threat Detection In-Depth
Cyber Defense Essentials
English2025年3月10日(月)~2025年3月15日(土)
1日目: 9:00-19:30
2日目~5日目: 9:30-19:30
6日目: 9:30-17:30
◆LiveOnline形式
オンライン
早期早割価格:1,300,000円(税込み 1,430,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,420,000円(税込み 1,562,000円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要 この説明書に従って設定したシステムを持参してください。
このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。
授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。
コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業の前夜までダウンロードを始めないでください。
教材には「セットアップ手順」という文書が含まれており、ライブ・クラスやオンライン・クラスに参加する前に行うべき重要な手順が記載されています。これらの手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様についてご質問がある場合は、カスタマーサービスまでお問い合わせください。
検出、分析、保護: プロアクティブなネットワーク脅威検知をマスターする
SEC503は、情報セキュリティのキャリアにおいて、最も重要なコースの一つです。これまでに受講したクラスの中で最も難しいクラスであると同時に、最もやりがいのあるクラスであるとも言われています。このコースは、ネットワーク上のゼロデイ活動を情報公開前に発見したいと考えている方には、適切なコースです。すぐに使える侵入検知システム(IDS)が発するアラートを単に理解しようとする人のためのものではありません。自分のネットワークで今何が起きているのかを深く理解し、どのツールも教えてくれないような非常に深刻なことが今起きているのではないかと疑っている人のためのコースです。 このコースが他のトレーニングと違うのは、ネットワーク侵入検知とネットワークフォレンジックを教えるのに、ボトムアップのアプローチをとっていることです。このコースでは、ツールの使い方から始まり、そのツールをさまざまな状況でどう使うかを教えるのではなく、TCP/IPプロトコルがどのように機能するのか、そしてその理由を教えます。最初の2日間で「第二言語としてのパケット」と呼ばれるものを検証した後、一般的なアプリケーションプロトコルと、新しいプロトコルを研究し理解するための一般的なアプローチを追加します。ゼロデイと既知の脅威の両方を特定するために、この知識を直接活用することができます。このようにネットワークプロトコルの仕組みを深く理解した上で、業界で最も広く使われているツールに目を向け、この深い知識を応用していきます。その結果、このクラスを終了するときには、ネットワークの計測方法を明確に理解し、詳細なインシデント分析と再構築を行うことができるようになります。
SEC503が重要であると私たちが考えている(そして学生からもそう言われている)のは、批判的思考力を養い、それをこれらの深い基礎に適用することを強制していることです。その結果、今日使用されている実質的にすべてのセキュリティ技術について、より深く理解することができるのです。今日の脅威環境においてネットワークのセキュリティを維持することは、特にクラウドへのサービス移行が進むにつれて、これまで以上に困難になっています。セキュリティの状況は、かつては境界線の保護だけだったものが、ほとんど常に接続され、時には脆弱な状態にある露出したシステムやモバイルシステムの保護へと絶えず変化しています。
SEC503では、TCP/IPの基礎理論や、DNSやHTTPなどの最も使用されているアプリケーション・プロトコルをカバーし、ネットワーク・トラフィックに危険やゼロデイ脅威の兆候がないかどうかをインテリジェントに調べることができるようにするための具体的な技術知識と実習の一部を行います。tcpdump、Wireshark、Snort、Suricata、Zeek、tshark、SiLK、NetFlow/IPFIXなど、さまざまなツールを使いこなすための練習をたくさんします。すべての経験レベルに適した毎日の実習は、知識を実行に移すことができるようにコースブックの材料を強化し、夜のBootcampセッションは、日中に学んだ理論をすぐに現実世界の問題に適用することを強制します。基本的な演習には補助的なヒントが含まれており、上級者向けのオプションでは、すでに内容を知っている学生や、新しい内容をすぐにマスターした学生にとって、より難しい体験ができます。
SEC503は、セキュリティアナリストやセキュリティオペレーションセンターで働く人など、ネットワークの監視、防御、脅威の探索を行う学生に最も適していますが、レッドチームのメンバーからは、特に検知されないようにするために、このコースを受講することで、より良いゲームができるとよく言われています。
このコースは、あなたの組織を支援します:
SEC503™のハンズオントレーニングは、初心者にもベテランにも親しみやすく、かつチャレンジングな内容となっています。各エクササイズには2つの異なるアプローチがあります。1つ目は、経験の浅い方向けのガイダンスとヒントが含まれたもの、2つ目は、ガイダンスはなく、経験のある方向けのものです。さらに、特に難しい脳トレをしたい上級者向けに、各エクササイズにオプションの追加問題を用意しています。ハンズオン・エクササイズの一例は以下の通り:
現在の職務や将来の計画にもよりますが、以下のコースのいずれかは、サイバーセキュリティにおける次のステップとして最適です:
GIAC Certified Intrusion Analyst は、ネットワークとホストの監視、トラフィック分析、および侵入検知に関する知識を検証する認定資格です。GCIA認定資格者は、侵入検知システムの設定および監視、ネットワークトラフィックおよび関連するログファイルの読み取り、解釈、分析に必要なスキルを有しています。
このコースの最初のセクションでは、TCP/IPプロトコルスタックをボトムアップでカバーし、TCP/IPの再確認または導入を行います。これは、私たちが「第二言語としてのパケット」と考えるコースの最初のステップです。ゼロデイ攻撃やその他の攻撃で使用されるパケットを収集することの重要性が確立された後、学生はすぐに低レベルのパケット分析に没頭し、脅威を特定してTTPを特定します。TCP/IP通信モデル、ビット、バイト、2進法、16進法の理論、IPヘッダーの各フィールドの意味と期待される動作など、必要不可欠な基礎知識を学びます。オープンソースのWiresharkとtcpdumpツールを使ったトラフィック解析の方法を紹介します。
この教材の焦点は、フィールドとその意味をただ闇雲に暗記することではなく、ヘッダーがなぜそのように定義されているのか、すべてがどのように連携しているのかを実際に理解することにあります。また、攻撃側と防御側の両方の視点からの議論により、既知および未知の(ゼロデイ)動作を特定するための脅威モデルの作成を開始します。
すべてのトラフィックは、Wiresharkとtcpdumpの両方を使って表示され、それぞれのツールの長所と短所が説明され、実演されます。受講者は、提供されたサンプルのトラフィックキャプチャファイルを見ながら、講師と一緒に学習を進めることができます。また、各トピックの後には複数のハンズオン演習を用意していますので、学習した内容を強化することができます。セクションの最後には、Bootcampスタイルのアクティビティで、すべてのコンセプトを実際のインシデントのトラフィックを使って実践的に適用します。
TCP/IPの概念
ネットワークアクセス/リンク層 レイヤ2
IP Layer: レイヤ3
第2セクションでは、第1セクションに引き続き、コースの「第二言語としてのパケット」の部分を終了し、今後のより深い議論のための基礎を築きます。このセクションでは、TCP/IPモデルで使用されている主要なトランスポート層のプロトコルについて深く理解していきます。さらに、Wiresharkとtcpdumpという2つの必須ツールについて、高度な機能を使って、自分のトラフィックを分析するためのスキルを身につけます。これらのツールの焦点は、WiresharkのディスプレイフィルターとtcpdumpのBerkeley Packet Filtersを使って、大規模なデータを興味のあるトラフィックにフィルタリングすることです。これらのツールは、TCP、UDP、ICMPをカバーするTCP/IPトランスポート・レイヤーの調査という文脈で使用されます。今回もすべてのヘッダーフィールドの意味と期待される機能について議論し、現代のネットワーク監視にとって非常に重大な意味を持つ最新の技術革新を数多く取り上げる。理論や機能だけでなく、攻撃者と防御者の視点からトラフィックを分析することで、最新のTTPの脅威モデルをネットワークレベルで拡張することができます。
今回も、付属のサンプルキャプチャファイルを見ながら、講師と一緒に学習を進めることができます。各主要トピックの後のハンズオンエクササイズは、学んだばかりの内容を強化する機会を提供します。ブートキャンプの教材は、受講生を理論の世界から実世界への応用へと向かわせます。インシデント発生時のパケット解析や、その他多くの情報セキュリティや情報技術の職務に役立つ、コマンドラインデータ操作の実践的な仕組みを学びます。また、クラウドや従来のネットワーク上にどのようなシステムがあり、どのように通信しているのか、どのサービスが利用可能なのかを、アクティブスキャンを行うことなく理解するための有用なテクニックも紹介します。
BPFフィルタの作成
TCP
UDP
ICMP
IPv6
実戦で使える ネットワークに関する調査
セクション3では、最初の2つのセクションの基礎をもとに、アプリケーション層のプロトコルの世界に入ります。
この知識を用いて、クラウド、エンドポイント、ハイブリッドネットワーク、従来のインフラで使用される脅威検出のための最先端の検出メカニズムに飛び込みます。
このセクションの全体的な焦点は、Snort(またはCisco FirePOWER)および/またはSuricataを使用し、効率的で効果的なルールを書くことを学ぶことです。ルール作成の基本をいくつか紹介した後、セクションの後半では、これらの脅威検出ツールの機能をより多く紹介し、最も広く使用され、時には脆弱なアプリケーションプロトコルの文脈で機能と欠陥を探求していきます。DNS、HTTP(S)、HTTP2、HTTP3、Microsoft通信などです。ネットワーク監視、脅威の検出、ネットワークフォレンジックにおいて重要なスキルであるプロトコル解析に重点を置いています。Wiresharkのその他の機能については、インシデント調査やトラフィックデータの指標に基づくイベントのフォレンジック再構築の文脈で検討されます。
コースの最後には、QUICと新しいプロトコルの調査方法について説明し、SnortとSuricataのスキルを実際に使用しながら、実際のデータからアラートを処理する方法を学びます。
Wiresharkの応用
Snort/Suricataの紹介
効果的なSnort/Suricata
DNS
マイクロソフトプロトコル
最新のHTTP
プロトコルの研究方法
注目すべきトラフィックの特定
最初の3つのセクションで得た基本的な知識は、セクション4で最新のネットワーク侵入検知システムについて深く議論するための基礎となります。これまでに学んだことを総合して、Snort/FirePower/Suricatの最適な検知ルールの設計に応用し、さらにZeek (またはCorelight)を使った振る舞い検知にも応用します。
まず、侵入検知・防御装置の特徴を含むネットワーク・アーキテクチャに関する議論と、スニッフィングしてトラフィックをキャプチャして検査することができる装置のオプションと要件に関する議論を行います。このセクションでは、導入オプションと考慮事項の概要を説明し、受講者はそれぞれの組織に適用される可能性のある特定の導入考慮事項を検討することができます。
その後、TLSについて、どのように変化したのか、必要なときにデータを傍受して復号化する方法について調べ、コースを通じて培った深いプロトコル知識に基づくトラフィック分析で、暗号化されており鍵を持たないネットワークストリームを特定し分類する方法を検討します。
このセクションでは、Zeek/Corelightを紹介し、その機能とロギング機能を実際に体験していただきます。基本的なスクリプトを紹介した後、Zeekのスクリプト言語とクラスタベースのアプローチを使用して、異常ベースの行動検出機能を構築することに移行します。
受講生がZeekの基本的な使い方を習得した後、講師は実践的な脅威分析と脅威モデリングプロセスを指導します。このプロセスは、防御されたネットワーク内のあらゆる潜在的なフィッシング活動を特定するための非常に強力な相関スクリプトの基礎として使用されます。さらに、この行動分析および脅威モデリングのアプローチを用いて、業界で使用されているシグネチャベースの検出パラダイムのギャップを埋め、未知の脅威に対するゼロデイ脅威検出機能を構築する方法を実践的に示します。
パケットの操作、作成、読み取り、書き込みを可能にする非常に強力なPythonベースのツールです。Scapyは、任意の監視ツールや次世代ファイアウォールの検出能力をテストするためにパケットを細工するために使用することができます。これは、例えば最近発表された脆弱性のために、ユーザーが作成した新しいネットワーク監視ルールが追加された場合に特に重要である。Scapyの様々な実用的なシナリオと使い方は、コースを通して提供されます。
このセクションの最後には、攻撃者がネットワーク監視機能を回避する方法について、現在のすべてのネットワーク監視ツールに対して機能するいくつかの「ゼロデイ」回避テクニックを含め、議論します。Bootcampの教材は、理論から実世界の状況での実践的な使用へと学生を移行させます。最終日のキャップストーンに向けて、これまで学んだテクニックをすべて応用し、分析中のインシデントに対する理解をさらに深めていくことになります。
規模に応じたネットワーク監視入門
Zeek
Scapy
IDS/IPS回避理論
このセクションでは、形式的な指導を少なくし、ハンズオン演習でより実践的な応用を行うという傾向が続いています。このセクションでは、NetFlowとIPFIXを使用したデータ駆動型の大規模な分析・収集から始まり、3つの主要な領域をカバーします。コースの最初のセクションで開発された深いプロトコルの背景を持つNetFlowは、私たちのクラウドと従来のインフラストラクチャで脅威のハンティングを実行するための信じられないほど強力なツールになるのです。基本を押さえた上で、NetFlowクエリを使ったより高度な解析と脅威の検知、およびカスタムNetFlowクエリの構築について説明します。2つ目のエリアでは、大規模な解析をテーマに、トラフィック解析の紹介を行います。ネットワークレベルでゼロデイ脅威を発見するための様々なツールやテクニックを紹介し、実習で実践していただきます。また、異常検知のための人工知能や機械学習技術の最先端アプリケーションについても議論し、デモンストレーションを行います。最終的には、ネットワークフォレンジックとインシデントの再構築を学びます。コース全体のツールやテクニックをすべて活用し、3つの詳細なハンズオンインシデントに取り組みます。
ネットワーク・フロー・レコードの使用
カスタムNetFlowクエリーの構築
スレットハンティングとビジュアライゼーション
ネットワークフォレンジック解析入門
このコースの最後には、スコアサーバーをベースにした楽しいハンズオンのIDSチャレンジがあります。最初の5つのセクションで学んだツールや理論を使用する必要がある多くの質問に答えるために、学生はソロプレイヤーまたはチームで競い合います。 この課題は、一刻を争うインシデント調査の文脈で、6つのセクションの実戦的な実データに基づいています。この課題は、プロのアナリストのチームが同じデータに対して行った分析に基づいて、学生が質問に答えるという「ライド・アロング」イベントとして設計されています。