SECURITY 503

Network Monitoring and Threat Detection In-Depth

English

日程: 2026年3月9日(月)~2026年3月14日(土)

期間: 6日間

講義時間: 1日目: 9:00-19:30
2日目~5日目: 9:30-19:30
6日目: 9:30-17:30

受講スタイル: Live Online

会場: オンライン

GIAC認定資格: GCIA

講師: Andrew Laman|アンドリュー　ラマン
SANSシニアインストラクター

言語: 英語　英語教材・同時通訳

定員: 40名

CPEポイント: 46 point

受講料

早期割引価格：1,259,500円（税込み 1,385,450円）
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格：1,334,500円（税込み 1,467,950円）

申込締切日: 早期割引価格：2026年1月23日(金)
通常価格：2026年2月27日(金)

オプション

GIAC試験価格：149,850円（税込み 164,835円）
OnDemand 149,850円（税込み 164,835円）
Skills Quest by NetWars 価格：74,250円（税込み 81,675円）

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円（税込11,000円）を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ（英語）をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません（別途購入可能）

下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC503 PC設定詳細

重要：次の手順に沿って設定されたノートPCをご準備ください。

このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。

受講前にシステムをバックアップしてください。機密データ/重要なデータが保存されていないシステムを使用することを推奨します。SANS は、受講者のシステムやデータに対して一切責任を負いません。

必須システムハードウェア要件

CPU: 64 ビット Intel i5/i7 (第 8 世代以降)、または同等のAMDプロセッサ。このコースでは、x64 ビット、2.0GHz以上のプロセッサが必須です。
重要： M1/M2プロセッサラインを使用するAppleシステムは、必要な仮想化機能を実行できないため、このコースでは使用できません。
BIOS 設定で「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にする必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は必ずアクセスできることを確認してください。
8GB以上のRAMが必要です。
150GB以上の空きストレージ容量が必要です。
USB 3.0 Type-A ポートが少なくとも1つは必要です。新しいノートパソコンには、Type-C - Type-A 変換アダプターが必要になる場合があります。一部のエンドポイントプロテクションソフトウェアでは USB デバイスの使用を妨げるため、受講前に USB ドライブのシステムをテストしてください。
無線ネットワーク(802.11規格)が必要です。会場には有線インターネットアクセスはありません。

必須のホスト構成とソフトウェア要件

ホストオペレーティングシステムは、Windows 10、Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
受講前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
Linuxホストは、バリエーションが多数あるため、このコースではサポートされていません。ホストとして Linux を使用することを選択した場合は、コース教材や VM と連携するように Linux を構成するのは受講生の責任となります。
ローカル管理者アクセスが必要です。(これは絶対に必要です。IT チームから許可を得られない場合は許可しないでください。会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参する手配をする必要があります。）
ウイルス対策ソフトウェアまたはエンドポイントプロテクションソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認してください。このコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品が原因でラボを完了できない場合があります。
出力トラフィックのフィルタリングにより、コースのラボを実施できない場合があります。ファイアウォールを無効にするか、無効化するための管理者権限が必要です。
講座開始前に、VMware Workstation Pro 16.2.X以上または VMware Player 16.2.X以上 (Windows 10 ホストの場合)、VMware Workstation Pro 17.0.0以上または VMware Player 17.0.0以上 (Windows 11 ホストの場合)、または VMWare Fusion Pro 12.2以上または VMware Fusion Player 11.5以上 (macOS ホストの場合) をダウンロードしてインストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない場合は、VMwareから30日間の無料トライアルコピーをダウンロードできます。VMwareのWebサイトでトライアルに登録すると、期間限定のシリアル番号が送信されます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことにも注意してください。Windowsホストシステムを使用している場合は、よりシームレスな受講者エクスペリエンスのためにWorkstation Proをお勧めします。
Windowsホストでは、VMware製品は Hyper-V ハイパーバイザーと共存しない場合があります。最適なエクスペリエンスを得るには、VMwareが仮想マシンを起動できることを確認してください。これには、Hyper-Vを無効にする必要がある場合があります。Hyper-V、Device Guard、Credential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
7-Zip(Windows ホストの場合) またはKeka(macOS ホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。講座で使用するメディアファイルは大きくなる可能性があります。多くは40〜50GBの範囲ですが、100GBを超えるものもあります。ダウンロードが完了するまで、十分な時間を確保してください。インターネット接続と速度は大きく異なり、さまざまな要因によって左右されます。そのため、教材のダウンロードにかかる時間の見積もりを概算することはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。講座初日からすぐ必要になります。これらのファイルのダウンロードは受講前日の夜まで待たずに開始してください。

コース教材には、「セットアップ手順」ドキュメントが含まれており、ライブ講座への参加、オンラインクラスを受講開始する前に実行する必要がある重要な手順が詳細に説明されています。これらの手順を完了するには、30分以上かかる場合があります。

講座では、ラボの指示に電子ワークブックを使用しています。この新しい環境では、コースラボに取り組んでいる間、教材を見やすくするために、2台目のモニターやタブレット端末があると便利です。

ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。

SEC503 コース概要

SEC503は、従来型ネットワークとクラウドベースネットワークの両方を防御するために必要なスキルと実践的な経験を積むための脅威検出トレーニングです。TCP/IP理論と主要なアプリケーションプロトコルを網羅し、ネットワークトラフィックを効果的に分析するのに役立ちます。脅威の検出、大規模な脅威ハンティングの実施、ネットワークデータからの攻撃の再構築方法を習得します。この詳細なネットワーク監視トレーニングコースは、ネットワークセキュリティ監視と分析を担う専門家の資格として高く評価されているGCIA認定（GIAC認定侵入アナリスト）の取得準備にも役立ちます。

検出、分析、保護：プロアクティブなネットワーク脅威検出をマスターする

SEC503トレーニングは、情報セキュリティのキャリアにおいて最も重要なコースです。受講者からは、これまでで最も難しかったものの、最もやりがいのあるコースだったという声が寄せられています。ネットワーク上でゼロデイ攻撃が公表される前に、効果的な脅威ハンティングを行い、ゼロデイ攻撃を発見したいと考えているなら、このコースはまさにうってつけです。SEC503™トレーニングは、すぐに使えるネットワーク監視ツールによって生成されるアラートを理解したい人向けではありません。むしろ、ネットワーク上で現在何が起こっているのかを深く理解したい方、そしてどのツールでも検知できないような深刻な事態が今まさに起こっているのではないかと疑っている方のためのコースです。これは、業界で他に類を見ないほど詳細なネットワーク監視トレーニングです。コース内容の詳細については、下記の詳細なコース概要をご覧ください。また、上記の「コースデモ」ボタンをクリックして無料デモを視聴できますので、ぜひご覧ください。

SEC503トレーニングが他のコースと一線を画すのは、ネットワーク監視とネットワークフォレンジックの教育にボトムアップアプローチを採用していることです。これにより、効果的な脅威ハンティングへと自然につながります。ツールを使って様々な状況での使い方を教えるのではなく、このコースではTCP/IPプロトコルがどのように、そしてなぜそのように動作するのかを学びます。最初の2つのセクションでは、「第二言語としてのパケット」と呼ばれる概念を紹介し、次に一般的なアプリケーションプロトコルと、新しいプロトコルの調査と理解のための一般的なアプローチを紹介します。議論全体を通して、これら知識を直接当てはめ、ゼロデイ脅威と既知の脅威の両方を特定します。

ネットワークプロトコルの仕組みを深く理解した上で、業界で最も重要かつ広く利用されている自動化された脅威検出・緩和ツールに焦点を当て取り上げます。これらのツールを用いて効率的な検出機能を開発する方法を習得するとともに、既存のルールが何を実行しているかを理解し、その有用性を判断できるようになります。その結果、このコース修了時には、ネットワークをインストルメント化し、詳細な脅威ハンティング、インシデント分析、ネットワークフォレンジック、再構築を実行する方法を明確に理解できるようになります。この実践的な知識は、GCIA認定資格で評価される実践的な能力となります。

SEC503トレーニングが重要である理由（そして受講者からもそう評価されている理由）は、受講者が批判的思考力を養い、これらの深い基礎知識にそれを応用することを強いられるからです。これにより、今日使用されているほぼすべてのセキュリティ技術に対する理解が深まります。今日の脅威環境においてネットワークのセキュリティを維持することは、これまで以上に困難になっています。特に、ますます多くのサービスをクラウドに移行する中で、かつては境界保護のみだったセキュリティが、ほぼ常に接続され、時には脆弱な、無防備なモバイルシステムの保護へとセキュリティの状況は絶えず変化しています。

具体的な技術知識と実践トレーニングでは、TCP/IPの基礎理論や、DNSやHTTPといった最もよく使用されるアプリケーションプロトコルを網羅し、ネットワークトラフィックをインテリジェントに調査して、侵害やゼロデイ脅威の兆候を検出できるようにします。tcpdump、Wireshark、Snort、Suricata、Zeek、tshark、SiLK、NetFlow/IPFIXといった様々なツールを習得するための実践的なトレーニングも豊富に用意されています。あらゆる経験レベルに対応した実践演習は、コース教材の内容を補強し、知識を実践に移すことを可能にします。また、夜間のブートキャンプセッションでは、日中に学んだ理論を実際の問題に即座に適用することを求められます。基本演習には補助的なヒントが含まれており、高度なオプション演習では、既に教材を熟知している受講者や新しい教材をすぐに習得した受講者にとって、より難易度の高い学習体験を提供します。

SEC503 トレーニングは、セキュリティアナリストやセキュリティオペレーションセンターで作業する人など、ネットワーク上で脅威の監視、防御、およびハンティングを行う受講者に最適です。その反面、レッドチームのメンバーからは、特に検出の回避に関して、このコースによってスキルが向上するとよく言われます。

受講対象者

ネットワーク監視、システム、セキュリティオペレーションセンター、およびセキュリティアナリスト
- アナリストならば、クラウド環境および従来の環境でのネットワーク監視と脅威検出のためのトラフィック分析ツールの使用方法を習得する、もしくな、より高度なスキルを習得できます。
ネットワークエンジニア/管理者
- ネットワークエンジニア/管理者ならば、ネットワーク監視センサーの最適な配置の重要性と、ログデータやネットワークフローデータなどのネットワークフォレンジックの分析を活用することで脅威を特定する能力をどのように強化できるかを理解できます。
実践的なセキュリティマネージャー
- 実践的なセキュリティマネージャーならば、ネットワーク監視の複雑さを理解し、成功に必要なリソースを提供することでアナリストを支援できます。

シラバス

DAY1
DAY2
DAY3
DAY4
DAY5
DAY6

ネットワークの監視と分析:パートI

セクション1では、TCP/IPの基礎を深く掘り下げ、ネットワークトラフィックと脅威検出について深く理解します。受講者は、Wiresharkとtcpdumpを用いたパケット分析を学習し、実際のトラフィックを調査するとともに、実践的な演習とブートキャンプ形式のチャレンジを通して攻撃者の行動を特定する練習をします。

取り上げられるトピック

TCP/IPの概念
Wiresharkの概要
ネットワークアクセス/リンク層：レイヤー2
IP層：レイヤー3
UNIXコマンドライン処理

ラボ

TCP/IP
Wireshark
ネットワークアクセスリンク/リンクペイヤー
IP
フラグメンテーション

概要

セクション1では、TCP/IPプロトコルスタックのボトムアップ解説から始まり、TCP/IPを詳細に解説することで、クラウドまたは従来型インフラストラクチャにおける脅威の監視と発見能力を向上させるための準備を整えます。これは、「パケットを第二言語として学ぶ」コースの第一歩です。ゼロデイ攻撃などの攻撃で使用されるパケットを収集することの重要性を理解した後、受講者は直ちに低レベルのパケット分析に取り組み、脅威とTTPを特定します。このセクションでは、TCP/IP通信モデル、ビット、バイト、2進数、16進数の理論、IPヘッダーの各フィールドの意味と想定される動作といった基本的な概念を網羅します。また、オープンソースツールであるWiresharkとtcpdumpを用いたトラフィック分析についても学びます。

この教材の焦点は、フィールドとその意味を暗記することではなく、ヘッダーがなぜそのように定義されているのか、そしてそれらがどのように連携して動作するのかを真に理解することです。攻撃者と防御者の両方の視点からのこれらの議論を通じて、受講者は既知および未知（ゼロデイ）の挙動を特定するための脅威モデルの作成を開始できます。

すべてのトラフィックはWiresharkとtcpdumpの両方を用いて説明および表示され、それぞれのツールの長所と短所が説明され、実演されます。受講者は、講師が提供したサンプルのトラフィックキャプチャファイルを参照しながら、その内容を理解することができます。各主要トピックの後に複数の実践演習を実施することで、受講者は学習内容をより深く理解することができます。最後には、ブートキャンプ形式の演習を通して、実際のインシデントにおけるトラフィックを例に、すべての概念を実践的に適用します。

トピックの詳細

TCP/IPの概念
- パケットヘッダーとデータを理解する必要があるのはなぜか
- TCP/IP通信モデル
- データのカプセル化/非カプセル化
- ビット、バイト、バイナリ、16進数
Wireshark入門
- Wiresharkの操作方法
- Wiresharkプロファイル
- Wireshark統計オプションの考察
- ストリーム再構成
- パケット内のコンテンツの検索
ネットワークアクセス/リンク層：レイヤー2
- リンク層入門
- アドレス解決プロトコル
- レイヤー2攻撃と防御
IP層：レイヤー3
- IPv4とIPv6
- 理論と実践における分野の考察
- チェックサムとその重要性（特にネットワーク監視と回避における）
- フラグメンテーション：フラグメンテーションに関係するIPヘッダーフィールド、フラグメントの構成、最新のフラグメンテーション攻撃
UNIXコマンドライン処理
- パケットの効率的な処理
- ネットワークに関する質問への回答と調査のためのデータの解析と集約
- 正規表現を使用した迅速な分析

ネットワーク監視と分析：パートII

セクション2では、「パケットを第二言語として」の締めくくりとして、トランスポート層プロトコル（TCP、UDP、ICMP）とWiresharkおよびtcpdumpを用いた高度なトラフィック分析について深く掘り下げます。受講者は、大規模データをフィルタリングして脅威を特定し、脅威モデルを拡張し、ハンズオンラボとブートキャンプ形式の演習を通して、実際のパケット分析を実践します。

取り上げられるトピック

Wiresharkの表示フィルタとBPFフィルタの作成
TCP
UDP
ICMP
QUIC
ラボ
Wiresharkの表示フィルタ
tcpdumpフィルタの作成
TCP
UDP/ICMP
QUIC

概要

セクション2では、このコースの「パケットを第二言語として」の部分を締めくくり、今後のより深い議論の基盤を築きます。受講者は、TCP/IPモデルで使用される主要なトランスポート層プロトコルに加え、これらのプロトコルの使用方法を変えている最新のトレンドについても深く理解することができます。 Wiresharkとtcpdumpという2つの必須ツールを詳細に解説し、高度な機能を用いてトラフィック分析スキルを習得します。Wiresharkの表示フィルタとtcpdumpのBerkeley Packet Filtersを用いて、大規模データを目的のトラフィックに絞り込み、従来型インフラとクラウドベースインフラの両方における脅威を特定することに焦点を当てます。これらのフィルタは、TCP、UDP、ICMPを含むTCP/IPトランスポート層の解説の中で使用します。各ヘッダーフィールドの意味と期待される機能についても改めて解説し、現代のネットワーク監視に非常に重要な影響を与える数々の最新技術革新を網羅します。トラフィック分析は、理論と機能だけでなく、攻撃者と防御者の観点からも行うことで、ネットワークレベルでの最新のTTP（戦術、技術、プロセス、手順）に対する脅威モデルを拡張することができます。

受講者は、サンプルキャプチャファイルを参照しながら、講師の指示に従って進めることができます。各主要トピックの後に実施する実践演習は、受講者が学習内容をより深く理解する機会となります。夜間のブートキャンプ教材は、受講者を理論の世界から現実世界への応用へと導きます。受講者は、インシデント発生時のパケット分析に非常に役立つだけでなく、情報セキュリティやITの分野でも役立つ、コマンドラインによるデータ操作の実践的な仕組みを学びます。また、クラウドや従来のネットワーク上にあるシステム、それらの通信方法、アクティブスキャンを実行せずに利用可能なサービスなどを理解するための便利な手法も学びます。

トピックの詳細

Wiresharkディスプレイフィルタ
- Wiresharkがディスプレイフィルタ作成を容易にする様々な方法の検証
- ディスプレイフィルタの構成
BPFフィルタの作成
- BPFの普遍性とフィルタの有用性
- BPFフィルタのフォーマット
- ビットマスキングの使用
TCP
- 理論と実践における分野の検証
- パケット解析
- チェックサム
- 正常および異常なTCP刺激と応答
- IDS/IPSにおけるTCP再構成の重要性
UDP
- 理論と実践における分野の検証
- UDP刺激と応答
ICMP
- 理論と実践における分野の検証
- ICMPメッセージを送信すべきでないケース
- マッピングと偵察における使用
- 正常なICMP
- 悪意のあるICMP
QUIC
- 基礎
- 理論と実践における分野の検証
実際の応用：ネットワークの調査
- トップトーカーは誰か
- 人々は何に接続しているのか
- ネットワーク上でどのようなサービスが稼働しているのか
- どのような東西トラフィックが存在するのか

シグネチャベースの脅威検知と対応

セクション3では、クラウド、ハイブリッド、従来型ネットワークにおけるアプリケーション層プロトコルと最新の脅威検知に焦点を当てます。受講者は、Snort/Suricataルールの読み書き、DNSやHTTP(S)などのプロトコルの分析、そしてそれらがシグネチャベースの検知システムに与える影響について学習します。

取り上げられるトピック

ネットワークアーキテクチャ
シグネチャベースの検知システム
HTTPS
DNS
Microsoftプロトコル

ラボ

SnortとSuricataの実行
ルールの作成
HTTP
DNS

概要

セクション3では、コースの最初の2つのセクションの基礎を基に、アプリケーション層プロトコルの世界へと踏み込みます。ここで得た知識を用いて、クラウド、エンドポイント、ハイブリッドネットワーク、そして従来型インフラストラクチャで使用されている最先端の脅威検知メカニズムを深く掘り下げます。

このセクションの全体的な焦点は、SnortとSuricataの使用方法と、効率的かつ効果的なルールの作成方法の習得にあります。ルール作成の基本をいくつか紹介した後、このセクションの残りの部分では、これらの脅威検出ツールの機能を次々と紹介するとともに、最も広く使用されている機能、そして時に脆弱なアプリケーションプロトコル（DNS、HTTP(S)、HTTP2、HTTP3、Microsoft通信）における機能と欠陥について考察します。特に、ネットワーク監視、脅威検出、ネットワークフォレンジックにおける重要なスキルであるプロトコル分析に焦点を当てます。

トピックの詳細

ネットワークアーキテクチャ
- トラフィック収集のためのネットワークのインストルメンテーション
- ネットワーク監視と脅威検出の導入戦略
- トラフィックをキャプチャするためのハードウェア
- 大規模ネットワーク監視の概要
ネットワーク監視ツールの機能
- 検出におけるアナリストの役割
- 分析フローのプロセス
Snort/Suricataの概要
- ツールの設定と基本的なログ記録
- シンプルなルールの作成
- 一般的なオプションの使用
効果的なSnort/Suricata
- 大規模ネットワーク向けに効率的なルールを作成するための高度なコンテンツ
- 簡単にバイパスまたは回避されない柔軟なルールの作成方法の理解
- Snort/Suricataの「自分の冒険を選ぶ」アプローチによる、実践的なアクティビティ
- 進化するエクスプロイトの段階的な調査、あらゆる形態の攻撃を検出するためのルールの段階的な改善
- Snort/Suricataのアプリケーション層プロトコルへの適用
DNS
- DNSのアーキテクチャと機能
- DNSSEC
- DNSの最新の進歩、例： EDNS（拡張DNS）
- 悪意のあるDNS（キャッシュポイズニングを含む）
- DNS脅威活動を識別するためのルールの作成
- 暗号化DNSの進歩
Microsoftプロトコル
- SMB/CIFS
- 検出の課題
- 実践的なWiresharkアプリケーション
最新のHTTP
- プロトコル形式
- このプロトコルが進化する理由と方法
- 検出の課題
- HTTP2とHTTP3の変更点
実際のアプリケーション：関心のあるトラフィックの特定
- 大規模パケットリポジトリ内の異常なアプリケーションデータの検出
- 関連レコードの抽出
- アプリケーションの調査と分析

ゼロデイ脅威検知システムの構築

セクション4では、Zeek/Corelightを用いた高度な行動検知に焦点を当てます。受講者は、ネットワークアーキテクチャ、TLSインターセプション、暗号化トラフィック分析、異常検知のためのスクリプト作成について学習します。このセクションには、Zeekのハンズオンラボ、テストのためのScapyの使用、回避手法の分析が含まれており、これらはすべて実際のブートキャンプシナリオへと繋がります。

取り上げられるトピック

Zeek
Scapy
IDS/IPS 回避理論
ペイロード抽出/暗号化

ラボ

Zeekの実行とZeek出力
Zeekシグネチャ
Zeekスクリプト作成
回避手法
パケット作成

概要

最初の 3 つのセクションで得た基礎知識は、セクション 4 で現代および将来のネットワーク侵入検知システムについて深く掘り下げる議論の基盤となります。これまでに学習したすべての知識を統合し、Zeek (またはCorelight) を用いた高度な挙動検知によって、Snort/FirePower/Suricata や次世代ファイアウォールの能力をはるかに超える、最適化された脅威検知機能を設計するために適用します。

このセクションの大部分は、Zeek/Corelight の紹介に費やし、その後、その機能とログ機能を探求するための実践的な演習が行われます。基本的なスクリプト作成を紹介した後、Zeekのスクリプト言語とクラスタベースのアプローチを用いて、異常ベースの挙動検知機能の構築へと進みます。

受講者がZeekの基本的な使用方法を習得した後、講師が実践的な脅威分析と脅威モデリングのプロセスを指導します。これらのプロセスは、防御ネットワーク内の潜在的なフィッシング活動を特定するための非常に強力な相関スクリプトの基礎となります。さらに、この行動分析と脅威モデリングのアプローチが、業界で使用されているシグネチャベースの検知パラダイムのギャップを埋め、未知の脅威に対するゼロデイ脅威検知機能を構築する上でどのように活用されるか、実践的に解説します。

受講者は、パケット操作、作成、読み取り、書き込みを可能にする非常に強力なPythonベースのツールである、多用途のパケット作成ツールScapyについて学びます。Scapyは、あらゆる監視ツールや次世代ファイアウォールの検知能力をテストするためのパケット作成に使用できます。これは、最近発表された脆弱性など、ユーザーが作成した新しいネットワーク監視ルールを追加する場合に特に重要です。コース全体を通して、Scapyの様々な実践的なシナリオと使用方法を提供します。

このセクションでは、攻撃者がネットワーク監視機能を回避する方法について解説します。これには、既存のネットワーク監視ツールすべてに有効な「ゼロデイ」回避手法も含まれます。

このセクションの最後には、パケットペイロードからファイルや情報を抽出するスキル、暗号化されたトラフィックの影響、そして暗号化されたペイロードに対処する手法について学びます。このブートキャンプの教材では、受講者は理論から現実世界の状況へと踏み込んでいきます。受講者は、最終日のキャップストーンに向けて、これまで学習したすべての手法を適用することで、分析対象のインシデントに関する理解を深めていきます。

トピックの詳細

Zeek
- Zeekの紹介
- Zeekの動作モード
- Zeekの出力ログとその使い方
- 実践的な脅威分析と脅威モデリング
- Zeekのスクリプト作成
- Zeekを用いた関連動作の監視と相関分析
Scapy
- Scapyを用いたパケット作成と分析
- ネットワークまたはpcapファイルへのパケットの書き込み
- ネットワークまたはpcapファイルからのパケットの読み取り
- ネットワーク分析とネットワーク防御におけるScapyの実践的な活用方法
回避理論
- 様々なプロトコル層における回避の理論と影響
- 回避のサンプリング
- ターゲットベースの検出の必要性
- ゼロデイ監視における回避
ペイロード/暗号化の抽出
- 任意のアプリケーションコンテンツの抽出
- パケットからのWebおよびその他の項目のエクスポート
- 暗号化トラフィックの課題と解決策

大規模脅威検知、フォレンジック、分析

セクション5では、NetFlow/IPFIX、トラフィック分析、AI/MLを用いた異常検知など、大規模分析の実践演習に重点を置いています。受講者は、コースを通して習得したツールとスキルを用いて、ゼロデイ脅威ハンティング手法を適用し、実際のインシデントを再現することでネットワークフォレンジックを実施します。

取り上げられるトピック

ネットワークフローレコードの活用
脅威ハンティングと可視化
ネットワークフォレンジック分析入門し

ラボ

SiLKとNetFlow
SiLK統計
基本的な分析
異常の調査
人工知能

概要

このセクションでは、引き続き、形式的な指導ではなく、演習により実践的な応用ができることを重視します。このセクションでは、NetFlowとIPFIXを用いたデータ駆動型の大規模分析と収集から始まる3つの主要分野を網羅しています。コースの最初のセクションで培われたプロトコルに関する深い知識を活用することで、NetFlowはクラウドと従来型インフラストラクチャにおける脅威ハンティングを実行するための非常に強力なツールとなります。基礎を網羅した後、カスタムNetFlowクエリの使用と構築を通して、より高度な分析と脅威検出について学習します。2つ目のセクションでは、大規模分析のテーマに引き続き、トラフィック分析の概要を学習します。ネットワークレベルでのゼロデイ脅威ハンティングのための様々なツールと手法を紹介した後、ハンズオン演習でそれらを実践する機会を提供します。また、異常検知における人工知能と機械学習の最先端の応用についても解説し、実演します。最後のセクションでは、ネットワークフォレンジックとインシデント再構築について深く掘り下げます。受講者は、コース全体で学習するすべてのツールと手法を用いて、3つの詳細なハンズオンインシデントに取り組みます。

トピックの詳細

ネットワークフローレコードの使用
- NetFlowとIPFIXメタデータ分析
- SiLKを使用した関心イベントの検出
- NetFlowデータによるラテラルムーブメントの特定
- カスタムNetFlowクエリの作成
脅威ハンティングと可視化
- 企業規模のネットワークでネットワーク脅威ハンティングを実行するための様々なアプローチ
- ネットワークの挙動を可視化して異常を特定するアプローチに関する演習
- データサイエンスの応用によるセキュリティ運用の効率化と脅威ハンティング
- 防御されたネットワークにおけるネットワークプロトコルの異常を特定するAIベースシステムの実験
ネットワークフォレンジック分析の概要
- ネットワークフォレンジック分析の理論
- エクスプロイトのフェーズ
- データ駆動型分析とアラート駆動型分析
- 仮説駆動型可視化

高度なネットワーク監視と脅威検知のキャップストーン

本コースは、受講者が個人またはチームで、live-fireインシデントから得られた実世界のデータを分析する、楽しく実践的なキャップストーンで締めくくられます。受講者は、本コースで扱うツールと理論を用いて、プロのアナリストによる調査に基づいた時間制限付きの「ride-along」チャレンジで、問題に解答します。

概要

本コースは、サーバーベースのネットワーク監視と脅威検知に関する実践的なキャップストーンで締めくくられます。このチャレンジは、楽しく挑戦的な内容となっています。受講者は個人またはチームで、本コースで扱うツールと理論を用いて、数多くの問題に解答します。このチャレンジは、時間的制約のあるインシデント調査における、6つのセクションにわたるlive-fireインシデントデータに基づいています。「ride-along」イベントとして設計されており、受講者は、プロのアナリストチームが同じデータを用いて行った分析に基づいて問題に解答します。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。