ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 503

Network Monitoring and Threat Detection In-Depth

Cyber Defense Essentials

English
日程

2025年3月10日(月)~2025年3月15日(土)

期間
6日間
講義時間

1日目: 9:00-19:30
2日目~5日目: 9:30-19:30
6日目: 9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GCIA
講師
Andrew Laman|アンドリュー ラマン
SANSシニアインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
46 point
受講料

早期早割価格:1,300,000円(税込み 1,430,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,420,000円(税込み 1,562,000円)

申込締切日
早期割引価格:2025年1月24日(金)
通常価格:2025年2月28日(金)
オプション
  • GIAC試験 価格:170,000円(税込み 187,000円)
  • OnDemand 価格:170,000円(税込み 187,000円)
  • NetWars Continuous 価格:290,000円(税込み 319,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

重要 この説明書に従って設定したシステムを持参してください。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。
授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。

ハードウェア要件

  • CPU 64ビットIntel i5/i7(第8世代以降)、またはAMDと同等のもの。このクラスでは、64ビット、2.0GHz以上のプロセッサが必須です。
  • 重要: M1/M2プロセッサーを使用したアップル製システムは、必要な仮想化機能を実行できないため、このコースには使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 8GB以上のRAMが必要です。
  • 150GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中には
    USBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネットアクセスはできません。

ソフトウェア必須要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 授業前にホストOSを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows 10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows 11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)を授業開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業の前夜までダウンロードを始めないでください。
教材には「セットアップ手順」という文書が含まれており、ライブ・クラスやオンライン・クラスに参加する前に行うべき重要な手順が記載されています。これらの手順を完了するには、30分以上かかる場合があります。

あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。

ノートパソコンの仕様についてご質問がある場合は、カスタマーサービスまでお問い合わせください。

SEC503 コース概要

検出、分析、保護: プロアクティブなネットワーク脅威検知をマスターする

SEC503は、情報セキュリティのキャリアにおいて、最も重要なコースの一つです。これまでに受講したクラスの中で最も難しいクラスであると同時に、最もやりがいのあるクラスであるとも言われています。このコースは、ネットワーク上のゼロデイ活動を情報公開前に発見したいと考えいる方には、適切なコースです。すぐに使える侵入検知システム(IDS)が発するアラートを単に理解しようとする人のためのものではありません。自分のネットワークで今何が起きているのかを深く理解し、どのツールも教えてくれないような非常に深刻なことが今起きているのではないかと疑っている人のためのコースです。 このコースが他のトレーニングと違うのは、ネットワーク侵入検知とネットワークフォレンジックを教えるのに、ボトムアップのアプローチをとっていることです。このコースでは、ツールの使い方から始まり、そのツールをさまざまな状況でどう使うかを教えるのではなく、TCP/IPプロトコルがどのように機能するのか、そしてその理由を教えます。最初の2日間で「第二言語としてのパケット」と呼ばれるものを検証した後、一般的なアプリケーションプロトコルと、新しいプロトコルを研究し理解するための一般的なアプローチを追加します。ゼロデイと既知の脅威の両方を特定するために、この知識を直接活用することができます。このようにネットワークプロトコルの仕組みを深く理解した上で、業界で最も広く使われているツールに目を向け、この深い知識を応用していきます。その結果、このクラスを終了するときには、ネットワークの計測方法を明確に理解し、詳細なインシデント分析と再構築を行うことができるようになります。

SEC503が重要であると私たちが考えている(そして学生からもそう言われている)のは、批判的思考力を養い、それをこれらの深い基礎に適用することを強制していることです。その結果、今日使用されている実質的にすべてのセキュリティ技術について、より深く理解することができるのです。今日の脅威環境においてネットワークのセキュリティを維持することは、特にクラウドへのサービス移行が進むにつれて、これまで以上に困難になっています。セキュリティの状況は、かつては境界線の保護だけだったものが、ほとんど常に接続され、時には脆弱な状態にある露出したシステムやモバイルシステムの保護へと絶えず変化しています。

SEC503では、TCP/IPの基礎理論や、DNSHTTPなどの最も使用されているアプリケーション・プロトコルをカバーし、ネットワーク・トラフィックに危険やゼロデイ脅威の兆候がないかどうかをインテリジェントに調べることができるようにするための具体的な技術知識と実習の一部を行います。tcpdumpWiresharkSnortSuricataZeektsharkSiLKNetFlow/IPFIXなど、さまざまなツールを使いこなすための練習をたくさんします。すべての経験レベルに適した毎日の実習は、知識を実行に移すことができるようにコースブックの材料を強化し、夜のBootcampセッションは、日中に学んだ理論をすぐに現実世界の問題に適用することを強制します。基本的な演習には補助的なヒントが含まれており、上級者向けのオプションでは、すでに内容を知っている学生や、新しい内容をすぐにマスターした学生にとって、より難しい体験ができます。

SEC503は、セキュリティアナリストやセキュリティオペレーションセンターで働く人など、ネットワークの監視、防御、脅威の探索を行う学生に最も適していますが、レッドチームのメンバーからは、特に検知されないようにするために、このコースを受講することで、より良いゲームができるとよく言われています。

ビジネス上の利点

このコースは、あなたの組織を支援します:

  • 一面トップニュースになるのを防ぐ
  • 従来型、ハイブリッド型、クラウド型のネットワーク環境における検出の強化
  • ネットワーク活動に対する脅威モデリングの効率を高める
  • 攻撃者の滞留時間を短縮

本トレーニングで学ぶこと

  • 新たなヘッドラインにならないために、サイトを通過するトラフィックを分析する方法
  • ネットワーク・モニタリング・ツールがシグネチャを公開していないゼロデイ脅威を特定する方法
  • ネットワーク・モニタリングの配置、カスタマイズ、チューニングを行い、最大限の検知を行う方法
  • 特にインシデント発生時のネットワーク・アラートのトリアージ方法
  • 何が、いつ、誰が行ったのかを特定するためのイベントの再構築方法
  • 様々なツールを使った検出、分析、ネットワーク・フォレンジック調査の実践
  • TCP/IPと一般的なアプリケーション・プロトコルでネットワーク・トラフィックを把握し、正常なトラフィックと異常なトラフィックを区別する
  • シグネチャベースのネットワーク・モニタリング・ツールの利点と問題点
  • 企業全体の自動相関のための行動ネットワーク・モニタリング・ツールのパワーと効果的な使用方法
  • ネットワーク・アクティビティに対する効果的な脅威モデリングの実行方法
  • 脅威モデリングをゼロデイ脅威の検出機能に変換する方法
  • フローおよびハイブリッド・トラフィック解析フレームワークを使用して、従来型、ハイブリッド、およびクラウドのネットワーク環境で検出を強化する方法

習得できるスキル

  • SnortとSuricataの設定と実行
  • 効果的かつ効率的なSnort、Suricata、FirePOWERルールの作成と記述
  • ハイブリッドトラフィック解析フレームワークを提供するオープンソースZeekの設定と実行
  • Zeekで自動化された脅威ハンティング相関スクリプトを作成する
  • TCP/IPコンポーネントレイヤを理解し、脅威識別のための正常なトラフィックと異常なトラフィックを識別する
  • トラフィック分析ツールを使用して、侵害またはアクティブな脅威の兆候を特定する
  • ネットワーク・フォレンジックを実行し、トラフィックを調査して TTP を特定し、アクティブな脅威を発見する
  • ネットワーク・トラフィックからファイルやその他のタイプのコンテンツを切り出し、イベントを再構築する
  • BPFフィルタを作成し、特定のトラフィック特性を選択的にスケールで調査する
  • Scapyでパケットを作成
  • NetFlow/IPFIXツールを使用して、ネットワーク動作の異常と潜在的な脅威を見つける
  • ネットワーク・アーキテクチャとハードウェアの知識を使用して、ネットワーク・モニタリング・センサーの配置をカスタマイズし、ワイヤからトラフィックをスニッフする

SEC503™のハンズオントレーニングは、初心者にもベテランにも親しみやすく、かつチャレンジングな内容となっています。各エクササイズには2つの異なるアプローチがあります。1つ目は、経験の浅い方向けのガイダンスとヒントが含まれたもの、2つ目は、ガイダンスはなく、経験のある方向けのものです。さらに、特に難しい脳トレをしたい上級者向けに、各エクササイズにオプションの追加問題を用意しています。ハンズオン・エクササイズの一例は以下の通り:

  • セクション1:ハンズオン:Wireshark入門
  • セクション2:ハンズオン:tcpdumpフィルタの作成
  • セクション3:ハンズオン:Snortルール
  • セクション 4: ハンズオン: IDS/IPS 回避理論
  • セクション 5: ハンズオン: 3 つのインシデントシナリオの分析

提供教材

  • 各セクションの教材が収録された電子コースウェア
  • 実践的な演習と問題を収録した電子ワークブック
  • TCP/IP電子チートシート
  • 全講義のMP3オーディオファイル

次に学ぶべきこと

現在の職務や将来の計画にもよりますが、以下のコースのいずれかは、サイバーセキュリティにおける次のステップとして最適です:

コース開発者より

1990年代半ばにネットワーク監視・侵入検知ツールの開発を始めたとき、市販されているソリューションや有意義なトレーニングがないことにすぐに気づきました。1998年末に、まさにこのコースの最初のバージョンに参加する機会を得て、すぐに自分の家を見つけたと思いました。それ以来、私は、ネットワーク監視、侵入検知、パケット解析は、企業内で最も優れたデータソースの一部であると認識するようになりました。これらを利用することで、インシデントが発生したかどうかを迅速に確認することができますし、経験豊富なアナリストであれば、数秒から数分で侵害の程度を判断することができます。本当の意味で、このコースはSANSが提供するコースの中で最も重要なものだと思います。防御者としてネットワークをこれまでとは全く異なる方法で考えるようになるだけでなく、「レーダーの目を潜り抜けたい」と考えているペネトレーションテスト担当者にとっても非常に重要な内容です。このコースで学ぶコンセプトは、情報セキュリティ組織のあらゆる役割に当てはまります。
- David Hoelzer

GIAC Certified Intrusion Analyst (GCIA) 認定試験

※SEC503は、GIAC(GCIA)認定試験対象コースです。

GIAC Certified Intrusion Analyst は、ネットワークとホストの監視、トラフィック分析、および侵入検知に関する知識を検証する認定資格です。GCIA認定資格者は、侵入検知システムの設定および監視、ネットワークトラフィックおよび関連するログファイルの読み取り、解釈、分析に必要なスキルを有しています。

  • トラフィック解析とアプリケーションプロトコルの基礎
  • Open-Source IDS。SnortとZeek
  • ネットワークトラフィックのフォレンジックとモニタリング

講義内容

  • 他のヘッドラインにならないために、サイトを通過するトラフィックを分析する方法
  • ネットワーク監視ツールがシグネチャを公開していないゼロデイ脅威を特定する方法
  • ネットワークモニタリングの配置、カスタマイズ、チューニングを行い、最大限の検知を行う方法
  • 特にインシデント発生時のネットワークアラートのトリアージ方法について
  • いつ、何が、誰が、何をしたのかを明らかにするための出来事再現の方法
  • 様々なツールによる検出、分析、ネットワークフォレンジック調査のハンズオン
  • TCP/IPと一般的なアプリケーションプロトコルにより、ネットワークトラフィックを把握し、正常なトラフィックと異常なトラフィックを区別することができます。
  • シグネチャベースのネットワーク監視ツールを使用することで得られるメリットと特有の問題点
  • 企業全体の自動相関を実現する行動ネットワーク監視ツールの威力とその効果的な活用法
  • ネットワークアクティビティに対する効果的な脅威のモデリングを行う方法
  • ゼロデイ脅威の脅威モデリングを検出能力に変換する方法
  • フローおよびハイブリッドトラフィック解析フレームワークを使用して、従来型、ハイブリッド、およびクラウドネットワーク環境での検出を強化する方法
  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

トラフィック解析の基礎。パート1

概要

このコースの最初のセクションでは、TCP/IPプロトコルスタックをボトムアップでカバーし、TCP/IPの再確認または導入を行います。これは、私たちが「第二言語としてのパケット」と考えるコースの最初のステップです。ゼロデイ攻撃やその他の攻撃で使用されるパケットを収集することの重要性が確立された後、学生はすぐに低レベルのパケット分析に没頭し、脅威を特定してTTPを特定します。TCP/IP通信モデル、ビット、バイト、2進法、16進法の理論、IPヘッダーの各フィールドの意味と期待される動作など、必要不可欠な基礎知識を学びます。オープンソースのWiresharkとtcpdumpツールを使ったトラフィック解析の方法を紹介します。

この教材の焦点は、フィールドとその意味をただ闇雲に暗記することではなく、ヘッダーがなぜそのように定義されているのか、すべてがどのように連携しているのかを実際に理解することにあります。また、攻撃側と防御側の両方の視点からの議論により、既知および未知の(ゼロデイ)動作を特定するための脅威モデルの作成を開始します。

すべてのトラフィックは、Wiresharkとtcpdumpの両方を使って表示され、それぞれのツールの長所と短所が説明され、実演されます。受講者は、提供されたサンプルのトラフィックキャプチャファイルを見ながら、講師と一緒に学習を進めることができます。また、各トピックの後には複数のハンズオン演習を用意していますので、学習した内容を強化することができます。セクションの最後には、Bootcampスタイルのアクティビティで、すべてのコンセプトを実際のインシデントのトラフィックを使って実践的に適用します。

トピック

TCP/IPの概念

  • なぜパケットヘッダとデータを理解する必要があるのか?
  • TCP/IPの通信モデル
  • データのカプセル化/カプセル化解除
  • ビット、バイト、バイナリ、16進数の説明
Wiresharkの紹介
  • Wiresharkのナビゲーション
  • Wiresharkのプロファイル
  • Wiresharkの統計情報の検討
  • ストリームの再構築
  • パケット内のコンテンツの発見

ネットワークアクセス/リンク層 レイヤ2

  • リンク層の紹介
  • アドレス解決プロトコル
  • レイヤ2における攻撃と防御

IP Layer: レイヤ3

  • IPv4
    • 理論と実践におけるフィールドの検討
    • チェックサムとその重要性(特にIDS/IPSの場合)
    • フラグメンテーション フラグメンテーションに関わるIPヘッダフィールド、フラグメントの構成、フラグメント攻撃
  • UNIXコマンドライン処理
    • パケットを効率よく処理
    • 質問に対する回答やネットワークの調査のためのデータ解析・集計
    • 正規表現を使った高速解析

       

トラフィック解析の基礎。パート2

概要

第2セクションでは、第1セクションに引き続き、コースの「第二言語としてのパケット」の部分を終了し、今後のより深い議論のための基礎を築きます。このセクションでは、TCP/IPモデルで使用されている主要なトランスポート層のプロトコルについて深く理解していきます。さらに、Wiresharkとtcpdumpという2つの必須ツールについて、高度な機能を使って、自分のトラフィックを分析するためのスキルを身につけます。これらのツールの焦点は、WiresharkのディスプレイフィルターとtcpdumpのBerkeley Packet Filtersを使って、大規模なデータを興味のあるトラフィックにフィルタリングすることです。これらのツールは、TCP、UDP、ICMPをカバーするTCP/IPトランスポート・レイヤーの調査という文脈で使用されます。今回もすべてのヘッダーフィールドの意味と期待される機能について議論し、現代のネットワーク監視にとって非常に重大な意味を持つ最新の技術革新を数多く取り上げる。理論や機能だけでなく、攻撃者と防御者の視点からトラフィックを分析することで、最新のTTPの脅威モデルをネットワークレベルで拡張することができます。

今回も、付属のサンプルキャプチャファイルを見ながら、講師と一緒に学習を進めることができます。各主要トピックの後のハンズオンエクササイズは、学んだばかりの内容を強化する機会を提供します。ブートキャンプの教材は、受講生を理論の世界から実世界への応用へと向かわせます。インシデント発生時のパケット解析や、その他多くの情報セキュリティや情報技術の職務に役立つ、コマンドラインデータ操作の実践的な仕組みを学びます。また、クラウドや従来のネットワーク上にどのようなシステムがあり、どのように通信しているのか、どのサービスが利用可能なのかを、アクティブスキャンを行うことなく理解するための有用なテクニックも紹介します。

トピックス

Wiresharkディスプレイフィルタ
  • Wiresharkのディスプレイ・フィルターを作成するための様々な方法の検討
  • ディスプレイ・フィルターの構成

BPFフィルタの作成

  • BPFの普遍性とフィルタの有用性
  • BPFフィルタのフォーマット
  • ビットマスキングの使用

TCP

  • 理論と実践におけるフィールドの検討
  • パケットディスセクション
  • チェックサム
  • 正常なTCPと異常なTCPの刺激と反応
  • IDS/IPSにおけるTCP再構築の重要性

UDP

  • 理論と実践の分野の検討
  • UDPの刺激と応答

ICMP

  • 理論と実践におけるフィールドの検討
  • ICMPメッセージを送信してはいけない場合
  • マッピングと偵察での使用
  • 通常のICMP
  • 悪意のあるICMP

IPv6

  • ファンダメンタルズ
  • IP6での改善点
  • マルチキャストプロトコルとIP6による活用方法
  • IP6脅威

実戦で使える ネットワークに関する調査

  • トップトーカーは誰なのか?
  • 人々は何に接続しているのか?
  • 私たちのネットワークではどんなサービスが動いているのか?
  • どのような東西のトラフィックが存在するのか?

シグネチャベースの脅威の検知と対応

概要

セクション3では、最初の2つのセクションの基礎をもとに、アプリケーション層のプロトコルの世界に入ります。

この知識を用いて、クラウド、エンドポイント、ハイブリッドネットワーク、従来のインフラで使用される脅威検出のための最先端の検出メカニズムに飛び込みます。

このセクションの全体的な焦点は、Snort(またはCisco FirePOWER)および/またはSuricataを使用し、効率的で効果的なルールを書くことを学ぶことです。ルール作成の基本をいくつか紹介した後、セクションの後半では、これらの脅威検出ツールの機能をより多く紹介し、最も広く使用され、時には脆弱なアプリケーションプロトコルの文脈で機能と欠陥を探求していきます。DNSHTTP(S)HTTP2HTTP3Microsoft通信などです。ネットワーク監視、脅威の検出、ネットワークフォレンジックにおいて重要なスキルであるプロトコル解析に重点を置いています。Wiresharkのその他の機能については、インシデント調査やトラフィックデータの指標に基づくイベントのフォレンジック再構築の文脈で検討されます。

コースの最後には、QUICと新しいプロトコルの調査方法について説明し、SnortSuricataのスキルを実際に使用しながら、実際のデータからアラートを処理する方法を学びます。

トピックス

Wiresharkの応用

  • ウェブやその他の対応オブジェクトをエクスポート
  • 任意のアプリケーションコンテンツの抽出
  • Wireshark によるインシデントの調査
  • SMBプロトコルのアクティビティを分析するための実用的なWiresharkの使い方
  • Tshark

Snort/Suricataの紹介

  • ツールの設定と基本的なログの取得
  • シンプルなルールの書き方
  • 共通オプションの使用

効果的なSnort/Suricata

  • 超大規模ネットワークのための真に効率的なルールの記述に関するより高度な内容
  • 簡単に回避されない、柔軟なルールの書き方を理解
  • Snort/Suricataの「Choose Your Own Adventure」アプローチで、すべてのハンズオンアクティビティを実施
  • 進化するエクスプロイトを段階的に検証し、あらゆる形態の攻撃を検知するため、ルールの段階的な改善
  • Snort/Suricataのアプリケーションレイヤープロトコルへの適用について

DNS

  • DNSのアーキテクチャと機能
  • DNSSEC
  • キャッシュポイズニングを含む悪意のあるDNS
  • DNSの脅威活動を特定するためのルール作成

マイクロソフトプロトコル

  • SMB/CIFS
  • 検知の課題
  • Wiresharkの実用的なアプリケーション

最新のHTTP

  • プロトコルのフォーマット
  • このプロトコルが進化している理由と方法
  • 検知の課題
  • HTTP2HTTP3での変更点

プロトコルの研究方法

  • QUICをケーススタディとして活用
  • GQUICIETF QUICの比較

注目すべきトラフィックの特定

  • 大規模なパケットリポジトリから異常なアプリケーションデータを見つける
  • 関連レコードの抽出
  • アプリケーションの調査と分析

ゼロデイ脅威の検知システムの構築

概要

最初の3つのセクションで得た基本的な知識は、セクション4で最新のネットワーク侵入検知システムについて深く議論するための基礎となります。これまでに学んだことを総合して、Snort/FirePower/Suricatの最適な検知ルールの設計に応用し、さらにZeek (またはCorelight)を使った振る舞い検知にも応用します。

まず、侵入検知・防御装置の特徴を含むネットワーク・アーキテクチャに関する議論と、スニッフィングしてトラフィックをキャプチャして検査することができる装置のオプションと要件に関する議論を行います。このセクションでは、導入オプションと考慮事項の概要を説明し、受講者はそれぞれの組織に適用される可能性のある特定の導入考慮事項を検討することができます。

その後、TLSについて、どのように変化したのか、必要なときにデータを傍受して復号化する方法について調べ、コースを通じて培った深いプロトコル知識に基づくトラフィック分析で、暗号化されており鍵を持たないネットワークストリームを特定し分類する方法を検討します。

このセクションでは、Zeek/Corelightを紹介し、その機能とロギング機能を実際に体験していただきます。基本的なスクリプトを紹介した後、Zeekのスクリプト言語とクラスタベースのアプローチを使用して、異常ベースの行動検出機能を構築することに移行します。

受講生がZeekの基本的な使い方を習得した後、講師は実践的な脅威分析と脅威モデリングプロセスを指導します。このプロセスは、防御されたネットワーク内のあらゆる潜在的なフィッシング活動を特定するための非常に強力な相関スクリプトの基礎として使用されます。さらに、この行動分析および脅威モデリングのアプローチを用いて、業界で使用されているシグネチャベースの検出パラダイムのギャップを埋め、未知の脅威に対するゼロデイ脅威検出機能を構築する方法を実践的に示します。

パケットの操作、作成、読み取り、書き込みを可能にする非常に強力なPythonベースのツールです。Scapyは、任意の監視ツールや次世代ファイアウォールの検出能力をテストするためにパケットを細工するために使用することができます。これは、例えば最近発表された脆弱性のために、ユーザーが作成した新しいネットワーク監視ルールが追加された場合に特に重要である。Scapyの様々な実用的なシナリオと使い方は、コースを通して提供されます。

このセクションの最後には、攻撃者がネットワーク監視機能を回避する方法について、現在のすべてのネットワーク監視ツールに対して機能するいくつかの「ゼロデイ」回避テクニックを含め、議論します。Bootcampの教材は、理論から実世界の状況での実践的な使用へと学生を移行させます。最終日のキャップストーンに向けて、これまで学んだテクニックをすべて応用し、分析中のインシデントに対する理解をさらに深めていくことになります。

トピックス

ネットワークアーキテクチャ
  • トラフィック収集のためのネットワークの計測
  • ネットワーク監視と脅威検知の展開戦略
  • トラフィックを収集するためのハードウェア

規模に応じたネットワーク監視入門

  • ネットワーク監視ツールの機能
  • 検出におけるアナリストの役割
  • 分析フロープロセス

Zeek

  • Zeekの紹介
  • Zeekの動作モード
  • Zeekの出力ログとその利用方法
  • 実践的な脅威分析・脅威モデリング
  • Zeekのスクリプティング
  • Zeekを使った関連行動の監視と相関関係の構築

Scapy

  • Scapyを使ったパケットクラフトと解析
  • ネットワークまたはpcapファイルへのパケットの書き込み
  • ネットワークまたはpcapファイルからのパケットの読み込み
  • ネットワーク分析とネットワーク防御のためのScapyの実用的な使用法

IDS/IPS回避理論

  • 異なるプロトコル層における回避の理論とその意味
  • 回避のサンプリング
  • ターゲットベース検出の必要性
  • ゼロデイ監視の回避

大規模な脅威の検知、フォレンジック、アナリティクス

概要

このセクションでは、形式的な指導を少なくし、ハンズオン演習でより実践的な応用を行うという傾向が続いています。このセクションでは、NetFlowIPFIXを使用したデータ駆動型の大規模な分析・収集から始まり、3つの主要な領域をカバーします。コースの最初のセクションで開発された深いプロトコルの背景を持つNetFlowは、私たちのクラウドと従来のインフラストラクチャで脅威のハンティングを実行するための信じられないほど強力なツールになるのです。基本を押さえた上で、NetFlowクエリを使ったより高度な解析と脅威の検知、およびカスタムNetFlowクエリの構築について説明します。2つ目のエリアでは、大規模な解析をテーマに、トラフィック解析の紹介を行います。ネットワークレベルでゼロデイ脅威を発見するための様々なツールやテクニックを紹介し、実習で実践していただきます。また、異常検知のための人工知能や機械学習技術の最先端アプリケーションについても議論し、デモンストレーションを行います。最終的には、ネットワークフォレンジックとインシデントの再構築を学びます。コース全体のツールやテクニックをすべて活用し、3つの詳細なハンズオンインシデントに取り組みます。

トピックス

ネットワーク・フロー・レコードの使用

  • NetFlowとIPFIXのメタデータ解析
  • SiLKを使った注目イベントの発見
  • NetFlowデータによる横方向の動きの特定
  • カスタムNetFlowクエリーの構築

スレットハンティングとビジュアライゼーション

  • ネットワークにおける企業規模でのネットワーク脅威ハンティングを行うための様々なアプローチ
  • ネットワークの挙動を可視化して異常を特定するアプローチに関する演習
  • データサイエンスによるセキュリティ運用の効率化と脅威のハンティングへの応用
  • AIを活用し、防御されたネットワーク上のネットワークプロトコルの異常を特定するシステムを実験中

ネットワークフォレンジック解析入門

  • ネットワークフォレンジック解析の理論
  • 搾取のフェーズ
  • データ駆動型解析とアラート駆動型解析の比較
  • 仮説駆動型ビジュアライゼーション

高度なネットワーク監視と脅威の検出の仕上げ

概要

このコースの最後には、スコアサーバーをベースにした楽しいハンズオンのIDSチャレンジがあります。最初の5つのセクションで学んだツールや理論を使用する必要がある多くの質問に答えるために、学生はソロプレイヤーまたはチームで競い合います。 この課題は、一刻を争うインシデント調査の文脈で、6つのセクションの実戦的な実データに基づいています。この課題は、プロのアナリストのチームが同じデータに対して行った分析に基づいて、学生が質問に答えるという「ライド・アロング」イベントとして設計されています。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。