ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 578

Cyber Threat Intelligence

Digital Forensics and Incident Response

English
日程

2026年3月9日(月)~2026年3月14日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
ハイブリッド (LiveOnlineとOnsiteの同時開催)
会場

◆LiveOnline形式
 オンライン

◆Onsite形式
 渋谷ソラスタ コンファレンス(https://shibuya.infield95.com/
 東京都渋谷区道玄坂 一丁目21番1号 渋谷ソラスタ 4階

GIAC認定資格
GCTI
講師
Kevin Ripa|ケビン リパ
SANSシニアインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2026年1月23日(金)
通常価格:2026年2月27日(金)
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand  149,850円(税込み 164,835円)
  • NetWars Continuous 価格:266,250円(税込み 292,875円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR578 PC設定詳細

重要:次の手順に沿って設定されたノートPCをご準備ください。

このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。

受講前にシステムをバックアップしてください。機密データ/重要なデータが保存されていないシステムを使用することを推奨します。SANS は、受講者のシステムやデータに対して一切責任を負いません。

システムハードウェア要件

  • CPU: 64 ビット Intel i5/i7 ( 8 世代以降)、または 同等のAMDプロセッサ。このコースでは、x64 ビット、2.0GHz以上のプロセッサが必須です。
  • 重要:Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • BIOS 設定で「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にする必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は必ずアクセスできることを確認してください。
  • 16GB以上のRAMが必要です。
  • 100GB以上の空きストレージ容量が必要です。
  • USB 3.0 Type-A ポートが少なくとも1つは必要です。新しいノートパソコンには、Type-C - Type-A 変換アダプターが必要になる場合があります。一部のエンドポイントプロテクションソフトウェアでは USB デバイスの使用を妨げるため、受講前に USB ドライブのシステムをテストしてください。
  • 無線ネットワーク(802.11規格)が必要です。会場には有線インターネットアクセスはありません。

ホスト構成とソフトウェア要件

  • ホストオペレーティングシステムは、Windows 10Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  • 受講前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、バリエーションが多数あるため、このコースではサポートされていません。ホストとして Linux を使用することを選択した場合は、コース教材や VM と連携するように Linux を構成するのは受講生の責任となります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。IT チームから許可を得られない場合は許可しないでください。会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参する手配をする必要があります。)
  • ウイルス対策ソフトウェアまたはエンドポイントプロテクションソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認してください。このコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品が原因でラボを完了できない場合があります。
  • 出力トラフィックのフィルタリングにより、コースのラボを実施できない場合があります。ファイアウォールを無効にするか、無効化するための管理者権限が必要です。
  • 講座開始前に、VMware Workstation Pro 16.2.X以上 または VMware Player 16.2.X以上 (Windows 10 ホストの場合)、VMware Workstation Pro 17.0.0以上 または VMware Player 17.0.0以上 (Windows 11 ホストの場合)、または VMWare Fusion Pro 12.2以上 または VMware Fusion Player 11.5以上 (macOS ホストの場合) をダウンロードしてインストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない場合は、VMwareから30日間の無料トライアル コピーをダウンロードできます。VMwareWebサイトでトライアルに登録すると、期間限定のシリアル番号が送信されます。また、VMware Workstation PlayerVMware Workstation Proよりも機能が少ないことにも注意してください。Windowsホストシステムを使用している場合は、よりシームレスな受講者エクスペリエンスのためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品は Hyper-V ハイパーバイザーと共存しない場合があります。最適なエクスペリエンスを得るには、VMwareが仮想マシンを起動できることを確認してください。これには、Hyper-Vを無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
  • 7-Zip(Windows ホストの場合) またはKeka(macOS ホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています

コースメディアはダウンロードで配信されます。講座で使用するメディアファイルは大きくなる可能性があります。多くは40〜50GBの範囲ですが、100GBを超えるものもあります。ダウンロードが完了するまで、十分な時間を確保してください。インターネット接続と速度は大きく異なり、さまざまな要因によって左右されます。そのため、教材のダウンロードにかかる時間の見積もりを概算することはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。講座初日からすぐ必要になります。これらのファイルのダウンロードは受講前日の夜まで待たずに開始してください。

コース教材には、「セットアップ手順」ドキュメントが含まれており、ライブ講座への参加、オンラインクラスを受講開始する前に実行する必要がある重要な手順が詳細に説明されています。これらの手順を完了するには、30分以上かかる場合があります。

講座では、ラボの指示に電子ワークブックを使用しています。この新しい環境では、コースラボに取り組んでいる間、教材を見やすくするために、2台目のモニターやタブレット端末があると便利です。

ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。

FOR578 コース概要

サイバー脅威インテリジェンスのトレーニングは、今日の柔軟かつ執拗な人的脅威や標的型攻撃に対抗するために不可欠です。FOR578 サイバー脅威インテリジェンスでは、複雑なシナリオを評価し、戦術的、運用的、そして戦略的なレベルの脅威インテリジェンススキルを習得します。このコースは、既存の知識を拡張し、セキュリティチームのための新たなベストプラクティスを確立するのに役立ちます。
敵こそが教師だ!
サイバー脅威インテリジェンスは、ますます巧妙化する高度な持続的脅威に対処するために、対応プログラムと検知プログラムを更新したい組織にとって、大きな力となります。マルウェアは攻撃者のツールですが、真の脅威は人間です。サイバー脅威インテリジェンスは、権限を与えられ訓練された人間の防御者によって、こうした柔軟で執拗な人間の脅威に対抗することに重点を置いています。標的型攻撃が発生した場合、組織は、攻撃者の行動を理解し、脅威に対抗するために必要な脅威インテリジェンスを備えた、最高レベルかつ最先端の脅威ハンティングまたはインシデント対応チームを必要とします。FOR578: サイバー脅威インテリジェンスは、セキュリティチームの強化、脅威ハンティングの精度向上、インシデント対応の効率化、そして進化する脅威の状況に対する組織の認識向上に必要な、戦術的、運用的、そして戦略的なサイバー脅威インテリジェンススキルとノウハウを、あなたとあなたのチームに提供します。
 
すべてのセキュリティ担当者は、分析スキルを磨くためにFOR578: サイバー脅威インテリジェンスを受講する必要があります。このコースは、これまでに経験したどの技術トレーニングとも異なります。構造化分析に焦点を当て、あらゆるセキュリティスキルセットの確固たる基盤を築き、既存のスキルを強化することを目的としています。このコースは、セキュリティ分野全般の実務担当者にとって、以下の能力向上に役立ちます。
  • 複雑なシナリオをより深く理解、統合、活用するための分析スキルの習得
  • 脅威モデリングなどの実践を通して、インテリジェンス要件の特定・作成
  • 戦術的、運用的、戦略的なレベルの脅威インテリジェンスを理解し、スキルの習得
  • 標的型攻撃を検知、対応、阻止するための脅威インテリジェンスの生成
  • 攻撃者のデータを収集するための様々な情報源と、それらのデータを活用し、活用する方法の習得
  • 外部から取得した情報を検証し、不適切なインテリジェンスによるコストを最小限に抑制
  • YARASTIX/TAXIIなどの形式で侵害指標(IOC)を作成する
  • 攻撃者の戦術、手法、手順を理解し、活用し、キルチェーン、ダイヤモンドモデル、MITRE ATT&CKなどのフレームワークの活用
  • あらゆるセキュリティ関連業務で成功するための構造化分析手法の確立
セキュリティ担当者が自らをアナリストと呼ぶのはよくあることです。しかし、単に技術研修に参加するだけでなく、体系的な分析研修を受けた人はどれくらいいるでしょうか。どちらも重要ですが、アナリストが分析的な思考方法の研修に重点を置くことは非常に稀です。このコースでは、アナリストが既存の知識を補完し、セキュリティチームのための新たなベストプラクティスを確立するための新しい考え方、方法論、そして手法を学ぶことができます。適切な分析スキルは、防御側が日々直面する複雑な世界において鍵となります。
 
攻撃者の意図、機会、そして危害を加える能力を分析することを、サイバー脅威インテリジェンスと呼びます。インテリジェンスはデータフィードでも、ツールから得られるものでもありません。インテリジェンスは、組織の主要な知識ギャップ、問題点、あるいは要件に対処するための実用的な情報です。このように攻撃者に関する知識を収集、分類、そして活用することで、防御側は攻撃者に対して優位に立つことができ、また、防御側は侵入に遭遇するたびに学習し、進化していくことができます。
 
サイバー脅威インテリジェンスは、ますます巧妙化する脅威に対処するために、対応プログラムや検知プログラムの構築または更新を検討している組織にとって、強力な戦力となります。マルウェアは攻撃者のツールですが、真の脅威は人間です。サイバー脅威インテリジェンスは、権限を与えられ訓練された人間の防御者によって、こうした柔軟かつ執拗な人間による脅威に対抗することに重点を置いています。
 
攻撃者に関する知識は、すべてのセキュリティチームにとって中核を成します。レッドチームは、攻撃者の手口を模倣するために、その手法を理解する必要があります。セキュリティオペレーションセンターは、侵入を優先順位付けし、緊急対応が必要な侵入に迅速に対処する方法を把握する必要があります。インシデント対応チームは、標的型侵入を迅速に調査し、対応する方法に関する実用的な情報を必要としています。脆弱性管理グループは、優先順位付けにおいて最も重要な脆弱性と、それぞれの脆弱性がもたらすリスクを理解する必要があります。脅威ハンティングチームは、新たな脅威を探し出すために、攻撃者の行動を理解する必要があります。
 
つまり、サイバー脅威インテリジェンスは、攻撃者に対処するためのあらゆるセキュリティ対策に情報を提供するものです。 FOR578: サイバー脅威インテリジェンスは、進化する脅威の状況を深く理解し、それらの脅威に正確かつ効果的に対抗するために必要なレベルの戦術的、運用的、戦略的なサイバー脅威インテリジェンスのスキルと技術を、あなた、あなたのセキュリティ チーム、そしてあなたの組織に提供します。

受講対象者

このコースは、レッドチーム担当者からインシデント対応者まで、あらゆるスキルセットのセキュリティ実務者に最適です。このコースは分析スキルに重点を置いています。

FOR578トレーニングのメリットを享受できる具体的な役割を担う方々には、以下の方々が含まれます。

  • インシデント対応チームのメンバー
  • 複雑なセキュリティインシデント/侵入に対応し、企業全体の侵害されたシステムの検出、調査、修復、復旧方法を知る必要がある方々
  • 脅威をより深く理解し、脅威から学ぶことで、より効果的に脅威をハンティングし、その背後にある技術に対抗できるようになりたいと考えている脅威ハンター
  • ネットワーク環境における攻撃者を特定するためのハンティング活動を支援するセキュリティオペレーションセンターの担当者および情報セキュリティ実務者
  • ファイルシステムフォレンジック、技術的に高度な攻撃者の調査、インシデント対応戦術、高度な侵入調査に関する理解を深めたいと考えているデジタルフォレンジックアナリストおよびマルウェアアナリスト
  • 高度な侵入調査とインシデント対応を習得し、従来のホストベースのデジタルフォレンジックを超えた調査スキルを習得したいと考えている連邦捜査官および法執行官
  • インテリジェンスチームの構築、または技術スキルを活かし、組織内でインテリジェンスを活用したいと考えているテクニカルマネージャー
  • 分析スキルを次のレベルに引き上げたいSANS修了者

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

サイバー脅威インテリジェンスとその要件

このセクションでは、インテリジェンス、分析手法、脅威インテリジェンスのレベルといった最も重要な概念と、それらが組織にもたらす価値について学習します。

取り上げられるトピック

  • インテリジェンスサイクル、手法、分析手法
  • サイバー脅威の定義、リスク、アクター、脅威モデル
  • 脅威インテリジェンスの収集と生成

ラボ

  • 構造化分析手法の活用
  • 限界の理解と強化
  • 戦略的脅威モデリング

概要

サイバー脅威インテリジェンスは急速に成長している分野です。しかし、「サイバー」という言葉が辞書に登場してくるずっと前から、インテリジェンスは専門職として存在していました。インテリジェンスの用語、分析手法、そしてその影響に関する重要なポイントを理解することは、サイバー脅威インテリジェンスを理解し、活用する上で不可欠です。このセクションでは、インテリジェンス、分析手法、そして脅威インテリジェンスのレベルに関する最も重要な概念と、それらが組織にもたらす価値について紹介します。また、計画、指示、そしてインテリジェンス要件の策定を通して、インテリジェンスプログラムを適切に開始することにも重点を置いています。他のセクションと同様に、このコースセクションには、受講者が理論を実践に移せるよう、没入型のハンズオンラボが含まれています。

ラボの詳細

  • 構造化分析手法の活用
  • 限界の理解と強化
  • 戦略的脅威モデリング

トピックの詳細

  • ケーススタディ:MOONLIGHT MAZE
  • インテリジェンスの理解
    • インテリジェンス用語集と定義
    • 従来のインテリジェンスサイクル
    • リチャーズ・ホイヤー・ジュニア、シャーマン・ケント、そしてインテリジェンスのトレードクラフト
    • 構造化分析手法
  • ケーススタディ:オペレーション・オーロラ
  • サイバー脅威インテリジェンスの理解
    • 脅威の定義
    • リスクの理解
    • サイバー脅威インテリジェンスとその役割
    • 組織とアナリストへの期待
    • ダイヤモンドモデルとアクティビティグループ
    • 4つの脅威検知タイプ
  • 脅威インテリジェンスの活用
    • サイバーセキュリティのスライディングスケール
    • 異なる目標に向けたインテリジェンスの活用
    • 他のチームへのインテリジェンス提供
  • インテリジェンス創出のためのチームの位置づけ
    • インテリジェンスチームの構築
    • 組織内におけるチームの位置づけ
    • インテリジェンス創出の前提条件
  • 計画および方向性(要件策定)
    • インテリジェンス要件
    • 優先度の高いインテリジェンス要件
    • インテリジェンスライフサイクルの開始
    • 脅威モデリング

基礎スキルセット:侵入分析

このセクションでは、攻撃者の活動に関する最初の通知からイベントの分析完了までの、多段階にわたる侵入プロセスを段階的に学習し、実際に体験します。また、このプロセスが攻撃者のキャンペーンの構築と定義において重要である点についても解説します。

取り上げられるトピック

  • 侵入分析
  • キルチェーンの詳細分析
  • 複数のキルチェーンへの対応

ラボ

  • 偵察とデリバリーからのインジケータ収集
  • インジケータを用いたネットワークデータへのピボット
  • インジケータを用いたメモリへのピボット

概要

侵入分析は脅威インテリジェンスの核心です。セキュリティ対策をより包括的なアプローチで行いたいと考えるセキュリティ担当者にとって、これは必須のスキルセットです。攻撃者の侵入を評価するために最も一般的に使用される3つのモデルは、キルチェーン、ダイヤモンドモデル、そしてMITRE ATT&CKです。これらのモデルは、侵入を分析し、攻撃者の行動や悪意のある兆候などのパターンを抽出するためのフレームワークおよび構造化されたスキームとして機能します。このセクションでは、攻撃者の活動に関する最初の通知からイベントの分析完了までの、多段階にわたる侵入を実際に体験し、理解を深めます。また、このセクションでは、攻撃者のキャンペーンの構造化と定義におけるこのプロセスの重要性についても重点をおきます。

ラボの詳細

  • 偵察とデリバリーからのインジケータ収集
  • インジケータを用いたネットワークデータへのピボット
  • インジケータを用いたメモリへのピボット
  • 侵入における目的達成のための行動の理解
  • 優先度の高いインテリジェンス要件の充足

トピックの詳細

  • 主要な収集ソース:侵入分析
    • コアスキルセットとしての侵入分析
    • 侵入分析の実行方法
    • 侵入キルチェーン
    • MITRE ATT&CK
    • ダイヤモンドモデル
  • キルチェーンの行動方針
    • 履歴データとログにおけるアクティビティの受動的な検出
    • 将来の脅威の行動と機能の検出
    • 脅威へのアクセス拒否
    • 敵対者の戦術とマルウェアの遅延と弱体化
  • キルチェーンの詳細分析
    • シナリオの概要
    • 悪意のある活動の通知
    • 単一のインジケータに基づく敵対者の活動の発見
    • 悪意のある行動の識別と分類
    • ネットワークおよびホストベースのデータの使用
    • 相互作用インシデント対応チームとの連携
    • マルウェアリバースエンジニアとの連携
    • 情報要求の効果的な活用
  • 複数のキルチェーンの処理
    • 同時発生する複数の侵入の特定
    • 複数のキルチェーンの管理と構築
    • 関連する侵入の関連付け
    • 長期追跡のための侵入からの知識抽出

収集ソース

​​このセクションでは、ドメイン、外部データセット、マルウェア、トランスポート層セキュリティ/セキュアソケットレイヤー(TLS/SSL)証明書などから情報を検索し、活用する方法を学習します。また、社内外で共有するために活用するデータを構造化します。

取り上げられるトピック

  • ケーススタディ:HEXANEGlassRATTrickbots
  • マルウェア
  • ドメイン

ラボ

  • Excelでのマルウェアサンプルの集計とピボット処理
  • DomainToolsにおけるオープンソースインテリジェンスとドメインピボット処理
  • Maltegoのピボット処理とオープンソースインテリジェンス

概要

サイバー脅威インテリジェンスアナリストは、収集ソースを徹底的に調査し、理解する必要があります。例えば、アナリストはマルウェアのリバースエンジニアリングを行う必要はありませんが、少なくともその作業を理解し、どのようなデータを探せるかを把握している必要があります。このセクションでは、アナリストにとって重要な収集ソースを特定するという前回のセクションに引き続き、オープンソースインテリジェンス(OSINT)と呼ばれる膨大な情報源についても解説します。このセクションでは、受講者はドメイン、外部データセット、マルウェア、トランスポート層セキュリティ/セキュアソケットレイヤー(TLS/SSL)証明書などから情報を探し出し、活用する方法を学びます。また、受講者は、社内外で共有するために活用するデータを構造化します。

ラボの詳細

  • Excel でのマルウェアサンプルの集計とピボット
  • DomainTools におけるオープンソースインテリジェンスとドメインピボット
  • Maltego のピボットとオープンソースインテリジェンス
  • RecordedFuture における膨大なオープンソースインテリジェンスの精査
  • TLS 証明書のピボット

トピックの詳細

  • ケーススタディ:HEXANE
  • 収集元:マルウェア
    • マルウェア分析のデータ
    • 分析とピボットの対象となる主要なデータタイプ
    • VirusTotal とマルウェアパーサー
    • 侵入パターンと主要指標の特定
  • 収集元:ドメイン
    • ドメインの詳細分析
    • さまざまな種類の攻撃ドメイン
    • ドメイン内の情報のピボット
  • ケーススタディ:GlassRAT
  • 収集元:外部データセット
    • 外部データセットからのリポジトリ構築
    • オープンソースインテリジェンス収集ツールとフレームワーク
  • 収集元: TLS証明書
    • TLS/SSL証明書
    • TLSによる新しいマルウェアサンプルとC2の追跡
    • TLS証明書の情報の活用
  • ケーススタディ:Trickbots

インテリジェンスの分析と生成

このセクションでは、MISPなどのツールを使用して情報を構造化・長期保存する方法、分析ツールを活用して論理的誤謬や認知バイアスを特定する方法、競合仮説分析などの構造化分析手法をグループで実行する方法、侵入を脅威グループに分類する方法を学びます。

取り上げられるトピック

  • 人間が操作するランサムウェア
  • データの保存と構造化
  • 論理的誤謬と認知バイアス

ラボ

  • MISPへの脅威データの保存
  • バイアスの種類の特定
  • 競合仮説分析

概要

優れたデータには、優れた分析への期待が伴います。受講者は侵入と収集のさまざまなソースに精通したので、長期的な分析に必要なインテリジェンス要件を満たすために、この情報の使用方法に分析の厳密さを適用することが重要です。単一の侵入をグループにまとめ、攻撃者のキャンペーンを追跡することは、攻撃者に先手を打つために不可欠です。

ラボの詳細

  • MISPへの脅威データの保存
  • バイアスの種類の特定
  • 競合仮説の分析
  • Maltegoによる視覚的分析
  • 2の法則と脅威グループ

トピックの詳細

  • ケーススタディ:人間が操作するランサムウェア
  • エクスプロイト:データの保存と構造化
    • 脅威データの保存
    • 脅威情報の共有
    • ストレージプラットフォームとしてのMISP
  • 分析:論理的誤謬と認知バイアス
    • 論理的誤謬
    • 認知バイアス
    • サイバー脅威インテリジェンスにおける一般的な非公式の誤謬
  • 分析:仮説の探求
    • 競合仮説の分析
    • 仮説の生成
    • 知識ギャップの理解と特定
  • 分析:さまざまな種類の分析
    • 視覚的分析
    • データ分析
    • 時系列分析
    • ケーススタディ:パナマ文書
    • 分析:侵入のクラスタリング
    • スタイルガイド
    • 名前とクラスタリングルール
  • 侵入のACH
  • アクティビティグループとクラスターのダイヤモンドモデル
    • スタイルガイド
    • 名前とクラスタリングルール
    • 侵入のACH
    • アクティビティグループとクラスターのダイヤモンドモデル

発信とアトリビューション

インテリジェンスは、消費者にとって有用な情報として発信されなければ意味がありません。このセクションでは、戦術、運用、戦略の様々なレベルにおける発信について学習します。

取り上げられるトピック

  • 論理的誤謬と認知バイアス
  • 戦術的発信
  • 運用​​的発信

ラボ

  • YARAにおけるIOCの開発
  • STIXの活用
  • キャンペーンヒートマップの作成

概要

ラボでは、YARAルールの作成、STIX/TAXIIの活用、長期的な攻撃者追跡のためのキャンペーンヒートマップの作成、インテリジェンスレポートの分析について学びます。また、攻撃者のアトリビューションについて、どのような場合に価値があり、どのような場合に単なる妨害にしかならないのかを含めて学習します。これまでに特定されたキャンペーンにおける状態レベルのアトリビューションについても解説し、サイバー脅威インテリジェンス業界の現状をより包括的に捉えます。このセクションの最後には、脅威インテリジェンスの活用と実用的な教訓について議論し、受講者がコース修了後に組織内で大きな変化を起こせるようにします。

ラボの詳細

  • YARAにおけるIOCの開発
  • STIXの活用
  • キャンペーンヒートマップの作成
  • インテリジェンスレポートの分析
  • アトリビューションインテリジェンスモデルの構築

トピックの詳細

  • 論理的誤謬と認知バイアス
    • バイアスの特定と克服
    • 論理的誤謬とその例
    • サイバー脅威インテリジェンスにおける一般的な非公式誤謬
    • 認知バイアスとその例
  • 情報発信:戦術的
    • オーディエンスと消費者の理解
    • 脅威データフィードとその限界
    • YARA
    • YARAの概念と例
  • 情報発信:運用的
    • キャンペーン相関分析の様々な手法
    • 敵対者の意図の認識
    • キャンペーン分析におけるダイヤモンドモデルの活用
    • STIXTAXII
    • 政府とパートナーとの連携
  • 情報発信:戦略的
    • レポート作成落とし穴
    • レポート作成のベストプラクティス
    • 戦略的アウトプットの様々な種類
  • ケーススタディ:APT10Cloud Hopper
    • 特定のインテリジェンス要件:アトリビューション
    • 新たなインテリジェンス要件の特定と改善
    • 収集管理フレームワークの調整
    • アトリビューションの種類
    • アトリビューションモデルの構築
    • アトリビューション評価の実施
  • ケーススタディ:Lazarus Group

キャップストーン

FOR578のキャップストーンは分析に重点を置いています。受講者はチームに分かれ、技術ツールと事例に基づいた成果物を用いて、単一の侵入から関連情報をつなぎ合わせ、より広範なキャンペーンを解明する作業に取り組みます。

概要

受講者は、インシデント対応チームの支援から州レベルのアトリビューション目標の達成に至るまで、幅広いインテリジェンス要件を満たす実践的な経験を積みます。この分析プロセスは、技術ツールの使用に重点を置くのではなく、受講者の思考力を試す場となります。最終日には、各チームが発見した複数のキャンペーンにまたがる脅威に関する分析結果を発表します。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ